Selon nos informations, une faille de la page dédiée aux facturations du site SFR permettait à un abonné quelconque d’avoir accès aux factures des autres clients du FAI. La brèche vient tout juste d'être colmatée par le Centre de Cyberdéfense du FAI, à la Direction des systèmes d’information.
Dans l’espace client du site SFR, l’exploitation de cette brèche était très simple. Comme chez les concurrents, un abonné SFR connecté peut télécharger sa dernière facture. Autre option : il peut aussi lire ce document directement à l’écran. SFR a fait le choix d'incruster ce fichier PDF pour en faciliter la lecture.
D'autres factures accessibles par simple modification d'une URL
Seulement, en fouillant les sources de cette intégration, il est facile de récupérer le lien hypertexte pointant vers le fameux fichier. Le nom de ce fichier est individualisé par une série de chiffres. Nouvel abonné, développeur et spécialiste en sécurité, Michel Gaschet a remarqué néanmoins qu'en modifiant cette variable, il était possible de tomber sur la facture d’autres clients, du moins celles éditées le même jour. En automatisant le processus, des milliers de documents similaires ont potentiellement pu tomber dans les mains d’un utilisateur mal intentionné.
Sur cette facture de synthèse (notre capture ci-dessus), on trouve le nom de l’abonné, son numéro de téléphone, son adresse mail, son numéro de contrat, sa date de fin d’engagement, le montant ponctionné, agrémenté des différentes options, etc. Des données personnelles ouvrant par exemple la voie à une attaque par ingénierie sociale (se faire passer pour tel abonné, afin de récupérer d'autres éléments plus sensibles encore).
SFR alertée, la faille a été colmatée le 1er mars. Histoire close ? Pas nécessairement. Ce dossier, géré par le Centre de Cyberdéfense à la Direction des systèmes d’information, devrait maintenant connaître d’autres suites.
Les FAI, la violation des données à caractère personnel et la CNIL
En cas de violation de données à caractère personnel, c’est-à-dire destruction, perte, altération, divulgation ou accès non autorisé, les FAI sont en effet soumis à des obligations particulières. La faute à l’article 34 Bis de la loi informatique et libertés. Le fournisseur de services de communications électroniques doit en effet alerter « sans délai, la Commission nationale de l'informatique et des libertés » de cette violation.
De plus, dès que cette violation peut porter « atteinte aux données à caractère personnel ou à la vie privée d'un abonné ou d'une autre personne physique », le même acteur a l’obligation d’avertir également les victimes. Cette seconde obligation n’est cependant plus nécessaire si la CNIL constate « que des mesures de protection appropriées ont été mises en œuvre par le fournisseur afin de rendre les données incompréhensibles à toute personne non autorisée ».
Dans tous les cas, le FAI doit tenir à jour un inventaire des violations de données à caractère personnel (modalités, effet, patchs, etc.) lui-même tenu à la disposition de la commission.
Contacté, SFR n'a pas souhaité faire de commentaire.
Commentaires (34)
Sans vouloir les défendre loin de là, ils sont loins d’être les seuls dans ce cas franchement. Je pense à Easytrip qui envoyait par mail des liens vers la facture client, visible sans identification préalable…Pas vérifié si c’est toujours le cas…dans le genre qui touche à la vie privée (déplacements, adresse), ça se pose là.
Non mais c’est pour aider les clients, leurs factures sont tellement incompréhensibles qu’ils proposent de voir celle du voisin, simplement
" />
" />
cela dit il me semble avoir déjà vu une actu de ce style pour une autre société
C’est une honte pour un dev web de laisser des failles béantes comme celle-ci surtout pour des factures, et quand en plus on appartient a une grosse boite comme SFR, ça mérite le fouet !
" />
Il me semble effectivement que c’est déjà arrivé à SFR (ère Vivendi) il y a quelques années.
je ne vois pas comment tu peux imputer cette faute à un dév web :
Contacté, SFR n’a pas souhaité faire de commentaire.
En fait, ils avaient déjà faire les commentaires… dans le code :
// TODO : gérer la sécurité de cette page
“colmatée par le Centre de Cyberdéfense du FAI” … eh ben ça fait un peu disproportionné là…
en gros on pouvait voir si les autres avaient subi la même augmentation que nous ?
C’est donc de la faute de la maitrise d’ouvrage. C’est toujours de leur faute de toute façon.
Mouarf… dans un autre genre, cela me rappelle la belle boulette d’un FAI qui connaît bien les mamies du Cantal, à l’emménagement de mon frangin dans son appart. Je m’occupe de son accès et pour vérifier où il en est de l’activation de sa ligne, il me file le courrier avec les identifiants pour que je me dém*de avec.
" />
J’ai bien pu suivre son activation, mais j’ai pu aussi (je ne m’explique toujours pas pourquoi), accéder notamment aux factures du précédent locataire… qui visiblement avait eu Free aussi. Et par factures, j’entends les détaillées avec les numéros…
Je les ai appelés direct pour leur indiquer que c’était un peu moyen de m’avoir filé le même mot de passe que le locataire précédent (à l’époque l’identifiant était le numéro de la ligne géographique, qui ne changeait donc pas)… on lui a changé son mdp fissa
Tout ce que je retiens c’est que le mec qui a trouvé ça, un soi-disant : “développeur et spécialiste en sécurité”, choisit quand même de s’abonner à sfr, il ne doit pas être totalement saint d’esprit pour avoir fait cela.
Wow, joli ! 
" />
pwned !! (☞゚∀゚)☞
le MDP de chez Free à l’époque était en clair dans la base
C’est aussi le cas chez orange, ou ça l’était il y a 2 ans.
Abonné fibre chez eux à ce moment là, j’avais oublié mon MDP et impossible de trouver le moindre formulaire pour le réinitialiser.
Du coup je les appelles avec mon n° de contrat, et il me file mon mdp pas téléphone, genre c’était normal pour le gars de l’avoir en clair sous les yeux …
Pour Free, les MDP du compte principal je ne sais pas, mais ceux des comptes mails/secondaire sont toujours en clair puisqu’on peux les récupérer par mail.
C’est monstrueux ! En un mois il était possible de récupérer l’intégralité des abonnés SFR en fait !?
SFR, c’est bien la société qui s’appelait neuf et qui distribuait des box avec wifi activé sans mot de passe par défaut?
Nouveau abonné pour profiter de la promo fibre, je suis ahurri de voir l’état baclé du site web de ce FAI : liens qui ne fonctionnent pas, mauvais conception etc. De plus, la parti forums a été refait recement et ne fonctionne plus correctement.
Cela donne l’impression d’avoir été fait au rabais. Vraiment étonnant d’une société de cette taille.
Du coup, un erreur de ce style n’est pas du tout surprennant.
J’ai marché dedans
" />
J’ai eu un petit doute au moment de répondre. Mais je l’ai fait, et je ne retire rien de mon post car certains peuvent vraiment penser la même chose que ton troll. Pour eux c’est toujours la faute de l’informatique, donc de ceux qui la gèrent (les grouillots, pas les patrons).
Et surtout beaucoup de patience pour tout récupérer
" />
(quoiqu’un script peut très bien le faire)
Je comprend pas comment on peut utiliser un paramètre en url pour récupérer un code client qu’on a déjà avec des variables de session, d’utilisateur etc..
J’avais trouvé le même style de faille sur le site des chèques emploies service, tu regardais ton relevé mensuel au clic sur le lien ça faisait appel à une fonction javascript. Il suffisaient de changer le numéro de salarié et bingo t’avais un pdf avec le nom et l’adresse du travailleur le N° Sécurité sociale les références des différents employeur et les sommes perçues.
Un an après elle existe plus j’avais envoyé un email à l’ANSSI mais pendant 6 mois elle était toujours la.
En plus quand tu reçois leur réponse tu regrette de l’avoir signalé.
Bonjour,L’ANSSI vous remercie pour ces informations.Nous allons procéder à des opérations techniques de vérification mais nousattirons votre attention sur les risques juridiques ou techniques qui peuventêtre liés à la recherche de vulnérabilités.
Cordialement
C’est pas un problème en soit tant que l’URL a un paramètre à rallonge pour rendre toute devinette de ce paramètre impossible par quelqu’un de mal intentionné (une suite de caractères aléatoires par exemple).
Ça permet au client de ne pas avoir à créer de compte (je ne connais pas ce site, je ne sais pas si c’est pour ça qu’ils ont fait ça comme ça) tout en étant parfaitement sécurisé.
Le problème pour SFR, c’était que le paramètre n’était pas du tout aléatoire je suppose :)
Tout a fait d’accord, et la faute serait plutôt aux responsables qui ne font pas de programme de bug bounty et d’audits assez poussés. Je vois bien le dialogue :
- Le dev : “Il faudrais revoir la securité de notre systeme de facturation”
- Le chef : “Ca marche ?”
- Le dev : “Oui mais…”
- Le chef : “alors pas de raison de s’inquiéter, fini ton café et retournes bosser !! SFR nous demande juste que ça marche…”
Un mot: lamentable. C’est le problème de laisser des développeurs qui n’ont pas compris le fonctionnement de HTTP et des sessions développer des sites Web. Souvent ce sont des cadors dans le langage, “experts full stack”, capable de mettre en oeuvre n’importe quel design pattern, mais lorsqu’il faut expliquer précisément le fonctionnement des échanges, c’est autre chose.
Et voilà l’avenir en marche: http://www.lemonde.fr/campus/article/2017/03/05/six-mois-pour-apprendre-a-coder_…
Il y a quelques années, j’avais fait passé un entretien à un prestataire qui effectuait une reconversion. Avant d’être “développeur”, il était paysagiste. C’est à peine s’il savait écrire une classe Java. Et la société qui le présentait était l’une des plus grosses au monde.