top of page

La Poste a laissé des données relatives à l’application Genius exposées sur le web


La Poste a laissé des données relatives à l’application Genius exposées sur le web

On entend beaucoup parler de VPNMentor ces dernières semaines et pour cause : le comparateur de VPN aligne sur son blog les entreprises qui laissent des données utilisateurs exposées sur le réseau, avançant des chiffres qui donnent le vertige. C’était notamment le cas pour le groupe Accor, ainsi que pour le groupe Phosphore. Dernier en date : le groupe la Poste, qui aurait laissé des données relatives aux utilisateurs de son application Genius exposées dans une base de donnée accessible librement sur le web.

Si l’on se réfère au post de blog publié par VPNMentor, il s’agit d’une faille non négligeable : 15 go de données, 23 millions d’entrées impliquant « des données sensibles » pour les entreprises clientes de l’application, une faille signalée au début du mois de novembre finalement corrigée un mois après… VPNMentor brosse, comme à son habitude, un tableau bien sombre de la sécurité du groupe la Poste.

Pourtant du côté de la Poste, la vision n’est pas exactement la même. Si le groupe confirme qu’une de ses bases de données ElasticSearch a effectivement laissé des données exposées suite à une erreur de configuration, la société nuance un peu le portrait dressé par VPNmentor. « 15 go de données et 23 millions d’entrées, cela nous paraît un peu surprenant pour une application qui compte 900 clients » explique Gabriel de Brosses, directeur de la cybersécurité du groupe la Poste. « Nous sommes encore en train d’analyser les données exposées, mais il s’agit pour l’essentiel de logs techniques. On évalue de notre côté le nombre de données personnelles exposées à 125 000. »

Le directeur cybersécurité rappelle ainsi que si les données ont effectivement été exposées, aucune exfiltration de celles-ci n’a pour l’instant été constatée du côté du groupe la Poste. Sur la durée totale de l’exposition, la Poste explique que « les données ont été exposées six semaines à compter de la fin octobre. Une action de paramétrage a corrigé cette exposition le 6 décembre dans les 30 minutes suivant la notification de la CNIL. » Le groupe notifiera les clients de Genius au travers de son service client, mais considère qu’au vu des données exposées pour l’instant, il ne s’agit pas de données présentant « un risque élevé ».


publicité

L’art et la manière

Sans entrer dans les détails des données exposées, c’est plutôt la méthode de VPNMentor qui pose ici question. On le sait, la société a entrepris une « cartographie » des systèmes vulnérables et alerte les entreprises qui passent dans son radar afin de résoudre le problème. Dans le cas de la Poste, VPNMentor indique avoir pris contact avec l’entreprise au 13 novembre, puis avoir contacté la CNIL le 18. « Effectivement, on a bien reçu un mail de leur part le 13 novembre. Simplement il s’agissait d’un mail en anglais, de quatre lignes, particulièrement évasif et envoyé sur une adresse générique de la poste » explique Gabriel de Brosses.

Autant dire qu’on a vu plus convaincant comme prise de contact, d’autant que la poste n’est pas vraiment une société immature en matière de sécurité : le groupe possède en effet un CERT (Computer Emergency Response Team) dédié à la réception et au traitement de ce type de signalements. Simplement VPNMentor n’est pas allé chercher aussi loin selon le groupe la Poste : « Je suis assez surpris que des chercheurs qui se définissent comme « hackers éthiques » n’aient pas eu le réflexe de communiquer leurs informations auprès du CERT La Poste, dont le contact est pourtant assez facile à trouver. Mon sentiment, c’est plutôt qu’ils nous ont alertés d’une façon suffisamment discrète pour pouvoir l’écrire dans leur post de blog » poursuit Gabriel de Brosses. De son coté, VPNMentor explique à ZDNet.fr avoir tenté de contacter la Poste, mais ne précise pas clairement sur quelles adresses.« En l’absence de réponse, nous nous sommes tournés vers la CNIL » nous explique par mail Lisa Taylor de VPNMentor.

C’est finalement la CNIL qui signalera le problème à la société au début du mois de décembre. Une demi-heure après le signalement, l’erreur de configuration en question était corrigée et les données n’étaient plus exposées.

0 vue0 commentaire

Comments


bottom of page