Fuite de données appartenant aux cotisants du titre emploi service
Envoyer à un ami
Partager sur ViadeoImpertinences, Internet, Sécurité
Par : Damien Bancal - Mardi 19 mai 2009 à 10:35
Une vulnérabilité dans la conception des adresses internet du site emploitpe.fr permettait d’accéder aux données privées et très sensibles des français, employeurs et salariés, utilisateurs des titres emploi service entreprise.
Une importante faille informatique a été corrigée, mardi, sur le site emploitpe.fr.
Ce portail permettait aux employeurs et employés, utilisateurs des Titres emploi service entreprise, de payer leurs charges sociales (URSAFF).
Seulement, les adresses officielles exploitées par le site n’avaient pas été sécurisées à 100 %.
Quand un cotisant recevait sa déclaration de paiement ou sa facture par Internet, il lui suffisait de modifier le chiffre contenu dans l’url pour se retrouver sur le compte d’un autre utilisateur.
Bilan, des informations, comme le compte bancaire, étaient accessibles par n’importe quel internaute.
Le site ZATAZ, qui a révélé l’affaire, indique que les documents concernaient la région parisienne.
Des archives accessibles depuis 2006.
Aucune restriction, mot de passe ou avertissement n’apparaissaient.
A noter que l’url trublion était un fier HTTPS, S comme sécurisé !
INQ
Envoyer à un ami
Commentaires
“A noter que l’url trublion était un fier HTTPS, S comme sécurisé !”
Le HTTPS garantie uniquement que la communication entre le client et le serveur HTTP est chiffrée. En aucun cas cela prouve que l’application hébergée sur le serveur est sécurisée.
Chiffrée avec son propre certificat ? Ou un certificat d’un organisme officiel ? Car les navigateurs modernes affichent normalement un avertissement pour les certificats douteux.
Poster un nouveau commentaire