Connexion
Abonnez-vous

Quand une faille chez SFR permettait à un client d’accéder aux factures d’autres abonnés

Facture ouverte

Quand une faille chez SFR permettait à un client d'accéder aux factures d'autres abonnés

Le 03 mars 2017 à 14h45

Selon nos informations, une faille de la page dédiée aux facturations du site SFR permettait à un abonné quelconque d’avoir accès aux factures des autres clients du FAI. La brèche vient tout juste d'être colmatée par le Centre de Cyberdéfense du FAI, à la Direction des systèmes d’information.

Dans l’espace client du site SFR, l’exploitation de cette brèche était très simple. Comme chez les concurrents, un abonné SFR connecté peut télécharger sa dernière facture. Autre option : il peut aussi lire ce document directement à l’écran. SFR a fait le choix d'incruster ce fichier PDF pour en faciliter la lecture.

D'autres factures accessibles par simple modification d'une URL  

Seulement, en fouillant les sources de cette intégration, il est facile de récupérer le lien hypertexte pointant vers le fameux fichier. Le nom de ce fichier est individualisé par une série de chiffres. Nouvel abonné, développeur et spécialiste en sécurité, Michel Gaschet a remarqué néanmoins qu'en modifiant cette variable, il était possible de tomber sur la facture d’autres clients, du moins celles éditées le même jour. En automatisant le processus, des milliers de documents similaires ont potentiellement pu tomber dans les mains d’un utilisateur mal intentionné.

Sur cette facture de synthèse (notre capture ci-dessus), on trouve le nom de l’abonné, son numéro de téléphone, son adresse mail, son numéro de contrat, sa date de fin d’engagement, le montant ponctionné, agrémenté des différentes options, etc. Des données personnelles ouvrant par exemple la voie à une attaque par ingénierie sociale (se faire passer pour tel abonné, afin de récupérer d'autres éléments plus sensibles encore).

SFR alertée, la faille a été colmatée le 1er mars. Histoire close ? Pas nécessairement. Ce dossier, géré par le Centre de Cyberdéfense à la Direction des systèmes d’information, devrait maintenant connaître d’autres suites.

Les FAI, la violation des données à caractère personnel et la CNIL 

En cas de violation de données à caractère personnel, c’est-à-dire destruction, perte, altération, divulgation ou accès non autorisé, les FAI sont en effet soumis à des obligations particulières. La faute à l’article 34 Bis de la loi informatique et libertés. Le fournisseur de services de communications électroniques doit en effet alerter « sans délai, la Commission nationale de l'informatique et des libertés » de cette violation.

De plus, dès que cette violation peut porter « atteinte aux données à caractère personnel ou à la vie privée d'un abonné ou d'une autre personne physique », le même acteur a l’obligation d’avertir également les victimes. Cette seconde obligation n’est cependant plus nécessaire si la CNIL constate « que des mesures de protection appropriées ont été mises en œuvre par le fournisseur afin de rendre les données incompréhensibles à toute personne non autorisée ».

Dans tous les cas, le FAI doit tenir à jour un inventaire des violations de données à caractère personnel (modalités, effet, patchs, etc.) lui-même tenu à la disposition de la commission.

Contacté, SFR n'a pas souhaité faire de commentaire. 

Commentaires (34)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Sans vouloir les défendre loin de là, ils sont loins d’être les seuls dans ce cas franchement. Je pense à Easytrip qui envoyait par mail des liens vers la facture client, visible sans identification préalable…Pas vérifié si c’est toujours le cas…dans le genre qui touche à la vie privée (déplacements, adresse), ça se pose là.

votre avatar

Non mais c’est pour aider les clients, leurs factures sont tellement incompréhensibles qu’ils proposent de voir celle du voisin, simplement <img data-src=" />



cela dit il me semble avoir déjà vu une actu de ce style pour une autre société <img data-src=" />

votre avatar

C’est une honte pour un dev web de laisser des failles béantes comme celle-ci surtout pour des factures, et quand en plus on appartient a une grosse boite comme SFR, ça mérite le fouet !<img data-src=" />

votre avatar

Il me semble effectivement que c’est déjà arrivé à SFR (ère Vivendi) il y a quelques années.

votre avatar

je ne vois pas comment tu peux imputer cette faute à un dév web :





  • &nbsp;tu ne sais pas combien de personnes travaillaient sur cet extranet, ni si c’est un code vétuste

  • ni si on leur a laissé le temps, si il avait plusieurs choses sur le feu

  • si il était correctement formé ou si il a été débarqué par la hiérarchie

  • si y a eu des changements de sécurité



votre avatar



Contacté, SFR n’a pas souhaité faire de commentaire.





En fait, ils avaient déjà faire les commentaires… dans le code :





// TODO : gérer la sécurité de cette page





<img data-src=" />

votre avatar

  1. SFR externalise son SI (notamment les sites web)



    1. le dév web a probablement fait ce qu’on lui a demandé (pas plus, pas moins)

    2. tu ne sais pas dans quelles conditions ça a été fait (il a peut-être eu 30mn pour faire la page, ce qui laisse peu de temps pour bien faire son travail - voir mon comm’ ci-dessus)

    3. c’est un problème du concepteur, du testeur,… bref de l’équipe entière, pourquoi pointer uniquement le dév ? Il a toutes les responsabilités sur un projet ?


votre avatar

“colmatée&nbsp;par le Centre de Cyberdéfense du FAI” … eh ben ça fait un peu disproportionné là…

votre avatar

en gros on pouvait voir si les autres avaient subi la même augmentation que nous ?

votre avatar







Trollalalala a écrit :



C’est une honte pour un dev web de laisser des failles béantes comme celle-ci surtout pour des factures, et quand en plus on appartient a une grosse boite comme SFR, ça mérite le fouet !<img data-src=" />





Ce n’était pas écrit dans les spécifications, il n’a donc rien à se reprocher.


votre avatar

C’est donc de la faute de la maitrise d’ouvrage. C’est toujours de leur faute de toute façon.

votre avatar

Mouarf… dans un autre genre, cela me rappelle la belle boulette d’un FAI qui connaît bien les mamies du Cantal, à l’emménagement de mon frangin dans son appart. Je m’occupe de son accès et pour vérifier où il en est de l’activation de sa ligne, il me file le courrier avec les identifiants pour que je me dém*de avec.



J’ai bien pu suivre son activation, mais j’ai pu aussi (je ne m’explique toujours pas pourquoi), accéder notamment aux factures du précédent locataire… qui visiblement avait eu Free aussi. Et par factures, j’entends les détaillées avec les numéros…



Je les ai appelés direct pour leur indiquer que c’était un peu moyen de m’avoir filé le même mot de passe que le locataire précédent (à l’époque l’identifiant était le numéro de la ligne géographique, qui ne changeait donc pas)… on lui a changé son mdp fissa <img data-src=" />

votre avatar

Tout ce que je retiens c’est que le mec qui a trouvé ça, un soi-disant : “développeur et spécialiste en sécurité”, choisit quand même de s’abonner à sfr, il ne doit pas être totalement saint d’esprit pour avoir fait cela.

votre avatar

Wow, joli !&nbsp;<img data-src=" />

votre avatar







Akoirioriko a écrit :



Tout ce que je retiens c’est que le mec qui a trouvé ça, un soi-disant : “développeur et spécialiste en sécurité”, choisit quand même de s’abonner à sfr, il ne doit pas être totalement saint d’esprit pour avoir fait cela.





hors troll, il fallait être abonné pour constater la présence de cette faille


votre avatar







TelcoCed a écrit :



Sans vouloir les défendre loin de là, ils sont loins d’être les seuls dans ce cas franchement. Je pense à Easytrip qui envoyait par mail des liens vers la facture client, visible sans identification préalable…Pas vérifié si c’est toujours le cas…dans le genre qui touche à la vie privée (déplacements, adresse), ça se pose là.





Certes, mais ce n’est pas un argument. Le fait que d’autres boites sont autant/encore plus aux fraises ne justifient en rien qu’ils le soient.


votre avatar







Trollalalala a écrit :



C’est une honte pour un dev web de laisser des failles béantes comme celle-ci surtout pour des factures, et quand en plus on appartient a une grosse boite comme SFR, ça mérite le fouet !





Il y à la même faille sur xhamster ce qui te permet de visionner les coups de fouet !


votre avatar







Aegis1383 a écrit :



Mouarf… dans un autre genre, cela me rappelle la belle boulette d’un FAI qui connaît bien les mamies du Cantal, à l’emménagement de mon frangin dans son appart. Je m’occupe de son accès et pour vérifier où il en est de l’activation de sa ligne, il me file le courrier avec les identifiants pour que je me dém*de avec.



J’ai bien pu suivre son activation, mais j’ai pu aussi (je ne m’explique toujours pas pourquoi), accéder notamment aux factures du précédent locataire… qui visiblement avait eu Free aussi. Et par factures, j’entends les détaillées avec les numéros…



Je les ai appelés direct pour leur indiquer que c’était un peu moyen de m’avoir filé le même mot de passe que le locataire précédent (à l’époque l’identifiant était le numéro de la ligne géographique, qui ne changeait donc pas)… on lui a changé son mdp fissa <img data-src=" />





Ton histoire dit surtout que le MDP de chez Free à l’époque était en clair dans la base… Ce qui peut laisser à désirer je pense.


votre avatar

pwned !!&nbsp;(☞゚∀゚)☞

votre avatar

le MDP de chez Free à l’époque était en clair dans la base



&nbsp;C’est aussi le cas chez orange, ou ça l’était il y a 2 ans.

Abonné fibre chez eux à ce moment là, j’avais oublié mon MDP et impossible de trouver le moindre formulaire pour le réinitialiser.



Du coup je les appelles avec mon n° de contrat, et il me file mon mdp pas téléphone, genre c’était normal pour le gars de l’avoir en clair sous les yeux …





Pour Free, les MDP du compte principal je ne sais pas, mais ceux des comptes mails/secondaire sont toujours en clair puisqu’on peux les récupérer par mail.

&nbsp;

votre avatar

C’est monstrueux ! En un mois il était possible de récupérer l’intégralité des abonnés SFR en fait !?

votre avatar







Jarodd a écrit :





  1. SFR externalise son SI (notamment les sites web)



    1. le dév web a probablement fait ce qu’on lui a demandé (pas plus, pas moins)

    2. tu ne sais pas dans quelles conditions ça a été fait (il a peut-être eu 30mn pour faire la page, ce qui laisse peu de temps pour bien faire son travail - voir mon comm’ ci-dessus)

    3. c’est un problème du concepteur, du testeur,… bref de l’équipe entière, pourquoi pointer uniquement le dév ? Il a toutes les responsabilités sur un projet ?









      oursgris a écrit :



      je ne vois pas comment tu peux imputer cette faute à un dév web : &nbsp;[…]&nbsp;





      Parce-que on est trolldi ! Désolé mais avec ce pseudo vous auriez du vous en douter <img data-src=" />

      Je suis dans le dev web et je me doute que le mec a fait ce qu’on lui a dit et que même si il a ouvert sa bouche il s’est fait rembarrer !

      C’est la faute a la société !

      Allez avouez c’était marrant, surtout quand ça marche <img data-src=" />

      &nbsp;





      skankhunt42 a écrit :



      Il y à la même faille sur xhamster ce qui te permet de visionner les coups de fouet !





      Merci de ton soutien cher troll !



votre avatar







Trollalalala a écrit :



Allez avouez c’était marrant, surtout quand ça marche <img data-src=" />&nbsp;





oui tu m’as p0wn3d


votre avatar

SFR, c’est bien la société qui s’appelait neuf et qui distribuait des box avec wifi activé sans mot de passe par défaut?

votre avatar

Nouveau abonné pour profiter de la promo fibre, je suis ahurri de voir l’état baclé du site web de ce FAI : liens qui ne fonctionnent pas, mauvais conception etc. De plus, la parti forums a été refait recement et ne fonctionne plus correctement.

Cela donne l’impression d’avoir été fait au rabais. Vraiment étonnant d’une société de cette taille.

Du coup,&nbsp; un erreur de ce style n’est pas du tout surprennant.

votre avatar







fabcool a écrit :



C’est monstrueux ! En un mois il était possible de récupérer l’intégralité des abonnés SFR en fait !?







Oui c’est monstrueux, il faudrait une carte SD d’au moins 1 Go pour contenir les PDF de factures de tous les clients SFR


votre avatar

J’ai marché dedans <img data-src=" />



J’ai eu un petit doute au moment de répondre. Mais je l’ai fait, et je ne retire rien de mon post car certains peuvent vraiment penser la même chose que ton troll. Pour eux c’est toujours la faute de l’informatique, donc de ceux qui la gèrent (les grouillots, pas les patrons).

votre avatar

Et surtout beaucoup de patience pour tout récupérer <img data-src=" />

(quoiqu’un script peut très bien le faire)

votre avatar

Je comprend pas comment on peut utiliser un paramètre en url pour récupérer un code client qu’on a déjà avec des variables de session, d’utilisateur etc..

J’avais trouvé le même style de faille sur le site des chèques emploies service, tu regardais ton relevé mensuel au clic sur le lien ça faisait appel à une fonction javascript. Il suffisaient de changer le numéro de salarié et bingo t’avais un pdf avec le nom et l’adresse du travailleur le N° Sécurité sociale les références des différents employeur et les sommes perçues.

Un an après elle existe plus j’avais envoyé un email à l’ANSSI mais pendant 6 mois elle était toujours la.



En plus quand tu reçois leur réponse tu regrette de l’avoir signalé.



Bonjour,L’ANSSI vous remercie pour ces informations.Nous allons procéder à des opérations techniques de vérification mais nousattirons votre attention sur les risques juridiques ou techniques qui peuventêtre liés à la recherche de vulnérabilités.




   Le fait d’avoir découvert et signalé une vulnérabilité ne vous exonère pas     complètement de votre responsabilité pénale. Le fait d’accéder ou de se     maintenir frauduleusement dans tout ou partie d’un système de     traitement automatisé de données (S.T.A.D.) demeure passible de sanctions     pénales prévues aux articles 323-1 et suivants du Code pénal     






   La recherche de vulnérabilités, même si elle n'est pas techniquement     intrusive, peut potentiellement entraîner des effets secondaires et     endommager un S.T.A.D.    





Cordialement

votre avatar







lexflex a écrit :



Je comprend pas comment on peut utiliser un paramètre en url pour récupérer un code client qu’on a déjà avec des variables de session, d’utilisateur etc..

J’avais trouvé le même style de faille sur le site des chèques emploies service, tu regardais ton relevé mensuel au clic sur le lien ça faisait appel à une fonction javascript. Il suffisaient de changer le numéro de salarié et bingo t’avais un pdf avec le nom et l’adresse du travailleur le N° Sécurité sociale les références des différents employeur et les sommes perçues.

Un an après elle existe plus j’avais envoyé un email à l’ANSSI mais pendant 6 mois elle était toujours la.



En plus quand tu reçois leur réponse tu regrette de l’avoir signalé.



Bonjour,L’ANSSI vous remercie pour ces informations.Nous allons procéder à des opérations techniques de vérification mais nousattirons votre attention sur les risques juridiques ou techniques qui peuventêtre liés à la recherche de vulnérabilités.




   Le fait d’avoir découvert et signalé une vulnérabilité ne vous exonère pas     complètement de votre responsabilité pénale. Le fait d’accéder ou de se     maintenir frauduleusement dans tout ou partie d’un système de     traitement automatisé de données (S.T.A.D.) demeure passible de sanctions     pénales prévues aux articles 323-1 et suivants du Code pénal     






   La recherche de vulnérabilités, même si elle n'est pas techniquement     intrusive, peut potentiellement entraîner des effets secondaires et     endommager un S.T.A.D.    





Cordialement







Le problème vient de nos dinosaures de législateurs

L’ANSSI prévient juste


votre avatar

C’est pas un problème en soit tant que l’URL a un paramètre à rallonge pour rendre toute devinette de ce paramètre impossible par quelqu’un de mal intentionné (une suite de caractères aléatoires par exemple).



Ça permet au client de ne pas avoir à créer de compte (je ne connais pas ce site, je ne sais pas si c’est pour ça qu’ils ont fait ça comme ça) tout en étant parfaitement sécurisé.



Le problème pour SFR, c’était que le paramètre n’était pas du tout aléatoire je suppose :)

votre avatar

Tout a fait d’accord, et la faute serait plutôt aux responsables qui ne font pas de programme de bug bounty et d’audits assez poussés. Je vois bien le dialogue :

&nbsp;- Le dev : “Il faudrais revoir la securité de notre systeme de facturation”

&nbsp;- Le chef : “Ca marche ?”

&nbsp;- Le dev : “Oui mais…”

&nbsp;- Le chef : “alors pas de raison de s’inquiéter, fini ton café et retournes bosser !! SFR nous demande juste que ça&nbsp;marche…”

votre avatar

Un mot: lamentable. C’est le problème de laisser des développeurs qui n’ont pas compris le fonctionnement de HTTP et des sessions développer des sites Web. Souvent ce sont des cadors dans le langage, “experts full stack”, capable de mettre en oeuvre n’importe quel design pattern, mais lorsqu’il faut expliquer précisément le fonctionnement des échanges, c’est autre chose.

votre avatar

Et voilà l’avenir en marche:&nbsp;lemonde.fr Le Monde

&nbsp;Il y a quelques années, j’avais fait passé un entretien à un prestataire qui effectuait une reconversion. Avant d’être “développeur”, il était paysagiste. C’est à peine s’il savait écrire une classe Java. Et la société qui le présentait était l’une des plus grosses au monde.

Quand une faille chez SFR permettait à un client d’accéder aux factures d’autres abonnés

  • D'autres factures accessibles par simple modification d'une URL  

  • Les FAI, la violation des données à caractère personnel et la CNIL 

Fermer