stations ski fuite données

Vacances au ski : fuite de données massive dans les stations françaises

Le prestataire d’un service de réservation en ligne de forfaits de ski, utilisé par de nombreuses stations françaises, a laissé deux failles de sécurité dans son logiciel. Par conséquent, 400 000 factures et 800 000 adresses mail ont été exposées sur le web.

Êtes-vous récemment parti en vacances au ski ? Des pistes blanches au Dark Web, vos données personnelles ont failli glisser à pleine vitesse vers les ténèbres du cybercrime.

En février 2020, alors qu’il était en vacances à la station de Chamrousse, en Isère, Alexandre Pages, directeur technique de Station F a fait une découverte surprenante. En consultant la facture de son forfait acheté en ligne sur le site de la station, il s’est aperçu avec effroi que le document était accessible en ligne sans protection.

pCloud : l’offre familiale LIFETIME à -75% pour la rentrée !

Il suffisait d’entrer l’adresse URL dans un navigateur web pour consulter la facture, sans avoir besoin d’identifiant ou de mot de passe. Par conséquent, tout un chacun pouvait accéder à des données personnelles telles que son nom, son prénom, son adresse postale, sa date de naissance et l’identité des personnes qui l’accompagnaient.

Un grave manquement de sécurité, mais le pire restait à venir. Les numéros de factures et les numéros de client se suivent. Sachant que ces numéros sont utilisés dans les URL des factures, il suffit de les remplacer pour consulter les factures de tous les autres clients.

Stupéfait par cette découverte, dans le but de vérifier l’envergure de la faille, Alexandre Pages a développé un programme capable de générer des identifiants clients et de vérifier l’existence de factures associées. En quelques minutes, une quinzaine de factures ont été retrouvées par son logiciel.

Le vacancier prend alors conscience que de nombreuses stations de ski sont concernées par cette faille. En réalité, l’erreur a été commise par JB Concept : une entreprise basée à Échirolles, en Isère, et qui fournit sa solution de vente en lignes de forfaits à de multiples stations. Parmi ses clients, on compte notamment Megève, Val Thorens, Valmorel et Chamonix.

Au total, près de 400 000 factures ont ainsi potentiellement pu être générées et téléchargées par des hackers. Les plus anciennes datent de 2006, mais les liens mal sécurisés sont intégrés aux emails de confirmation envoyés aux clients depuis 2020. Il était donc possible de les consulter en accédant à la boîte mail d’un client.

C’est justement cette intégration, demandée par un client au début de la saison, que regrette Bertrand Blaise, le directeur général de JB Concept. Selon lui, ce changement a été apporté trop rapidement et a fortement accru le danger représenté par cette faille de sécurité.

Une deuxième faille de JB Concept expose les adresses mail de 800 000 skieurs, dont Emmanuel Macron

En parallèle, Alexandre Pages a découvert une seconde faille dans l’interface de communication avec les infrastructures de stations clientes. Cette interface permet de transmettre les réservations pour rendre les forfaits fonctionnels sur les remontées mécaniques.

Or, une mauvaise configuration et une documentation accessible en ligne permettaient cette fois l’accès aux adresses mail des clients. Plus de 800 000 personnes ont été impactées par cette deuxième faille… dont Emmanuel Macron.

Le prestataire JB Concept se veut rassurant, et affirme qu’aucun tiers n’a dérobé ces données avant que le danger soit découvert par Alexandre Pages. C’est d’ailleurs la raison pour laquelle l’entreprise n’a pas pris la peine de contacter la CNIL pour signaler ce manquement.

Pourtant, le RGPD impose aux entreprises de signaler toute fuite de données aux autorités de protection de données sous 72 heures. Il reviendra donc à la CNIL de décider si l’entreprise a enfreint le règlement.

Quoi qu’il en soit, cet accident démontre une nouvelle fois que les risques de cybersécurité sont toujours présents… même lorsque vous êtes en vacances. Veillez donc à prendre des mesures supplémentaires pour protéger vos données personnelles…