Fuite d’informations pour la billetterie web du PSG

Fuite d’informations pour la billetterie web du PSG

Une grande brèche dans la sécu­rité de la bil­let­terie en ligne du PSG a été décou­verte il y quelques jours, per­me­t­tant, à cause d’une erreur tech­nique, d’accéder à une liste de tous les nou­veaux abon­nés du club de Paris Saint Ger­main depuis Juil­let. Cette liste com­por­tait les adress­es mail aux­quels les con­fir­ma­tions d’inscription ont étés automa­tique­ment expédiés. Ces mails ont étés automa­tique­ment de la part d’Alexandre Noé, directeur de la bil­let­terie. Chaque mis­sive repre­nait :

  • L’i­den­tité de l’a­cheteur (Nom et prénom)
  • L’adresse élec­tron­ique (email)
  • Le numéro de mem­bre (Esprit Club)
  • Le numéro de la com­mande
  • Le mode de paiement (Le numéro de carte ban­caire n’ap­pa­rais­sait pas)
  • Le mon­tant de la trans­ac­tion
  • Le siège et le rang de l’abon­nant acheté et l’ensem­ble des arti­cles acquit­tés.
La billetterie web du PSG a laisse l'information de ses abonnes disponible a n'importe quel utilisateur
La bil­let­terie web du PSG a lais­sé les don­nées de ses abon­nés disponibles a n’im­porte quel util­isa­teur

Pour accéder à cette liste, l’internaute avait sim­ple­ment à effac­er une par­tie de l’URL pro­posé dans le nav­i­ga­teur, une fois con­nec­té à la par­tie « iden­ti­fi­ca­tion » du site du PSG. En val­i­dant l’URL l’internaute est affiché une liste de quelques cen­taines d’inscrits noir sur blanc, sans avoir été con­trôlé ou véri­fié par un mot de passe ou quoique ce soit. ZATAZ.com a été infor­mé de cette fuite et a tout de suite cher­ché à con­tac­ter le prestataire de ser­vice en charge de la bil­let­terie, Rodrigue Solu­tions.

Avec ces infor­ma­tions très per­son­nelles, des per­son­nes malveil­lantes pour­raient les utilis­er à mau­vais escient pour procéder à ce qu’on appelle le « phish­ing, » (Ham­meçon­age en anglais) qui con­siste à duper l’internaute pour lui faire divulguer ses coor­don­nées ban­caires (entre autres). Sou­vent il s’agit d’offre pro­mo­tion­nelle bidon, d’une page de véri­fi­ca­tion fal­si­fiée, ou par­fois de cour­riel per­son­nal­isé qui vous demande de met­tre à jour vos coor­don­nées pour un ser­vice dont vous êtes util­isa­teur.

Ce n’est pas un cas à part, mal­heureuse­ment. Le mag­a­zine Cap­i­tal à prou­vé à quel point les fichiers sen­si­bles man­quent de pro­tec­tion en procè­dent lui-même à exploiter des failles dans la sécu­rité de grandes entre­pris­es.

En ce qui con­cerne la régle­men­ta­tion, l’article 34 de la loi du 6 jan­vi­er 1978 mod­i­fiée cite que « Le respon­s­able du traite­ment est tenu de pren­dre toutes pré­cau­tions utiles, au regard de la nature des don­nées et des risques présen­tés par le traite­ment, pour préserv­er la sécu­rité des don­nées et, notam­ment, empêch­er qu’elles soient défor­mées, endom­magées, ou que des tiers non autorisés y aient accès. » La CNIL, La Com­mis­sion Nationale de l’In­for­ma­tique et des Lib­ertés, rap­pelle que l’oubli du respon­s­able d’adopter des mesures de sécu­rité physiques, logiques et adap­tées à la nature des don­nées et aux risques présen­tées par le traite­ment peut être sanc­tion­né de 5 ans d’emprisonnement et de 300 000€ d’amende.

Pour les util­isa­teurs eux, l’accès à leur don­nées peut entrain­er des con­séquences bien ennuyeuses, comme par exem­ple avec le vol d’identité. Cette fuite est une mau­vaise nou­velle, à la fois pour la bil­let­terie du PSG et pour ces fans, qui réfléchi­ront peut-être deux fois avant de se réin­scrire.

Source: ZATA.com

Partager cet article