Hier matin, un vent de panique soufflait sur le site de La Poste. À cause d'un « incident technique », des clients se retrouvaient connectés aux comptes d'autres clients de manière aléatoire. Ils pouvaient accéder aux informations personnelles et à l'historique de commandes. La Poste nous indique que 2 928 comptes ont été touchés.
Des clients de La Poste ont aujourd'hui eu une désagréable surprise lorsqu'ils se sont connectés sur leur compte client : ce n'était pas forcément le leur, mais celui d'une autre personne. Pire, en rafraîchissant la page, un autre apparaissait de manière aléatoire. À chaque fois, il était possible de voir les commandes passées.
Historique de commandes, factures, etc.
« Ce matin je me suis connecté à mon compte la poste sur le navigateur de mon smartphone, avec mon mail et mot de passe habituel. Je suis arrivé sur la page mon compte, et au lieu de "Bonjour Victor" j'avais un "Bonjour Magali". À chaque fois que je rafraichissais la page, j'avais un prénom différent », nous explique un des clients concernés.
Les premiers retours de ce bug semblent remonter un peu avant 10h30. Vers 11h, le compte officiel de La Poste (Lisa) reconnaît le problème : « Bonjour, nous rencontrons actuellement un incident technique au niveau des comptes clients. Soyez rassuré, toutes nos équipes techniques sont mobilisées pour résoudre ce dysfonctionnement au plus vite [...] En attendant, le site est mis en maintenance ». Une sage décision étant donné la gravité du problème.
2 928 comptes impactés en l'espace de 20 minutes, Digiposte épargnée
Le site revient rapidement, avec un fonctionnement qui semble normal. À 11h35, La Poste affirme que « l'incident est résolu » et présente une nouvelle fois ses excuses pour la gêne occasionnée. Aucun détail n'est par contre donné sur l'ampleur et les causes de cet « incident technique ».
Contacté par nos soins, le service presse de la Poste affirme qu'il « n’a duré qu’une vingtaine de minutes ». Suffisant pour que 2 928 comptes client soient concernés par cette fuite de données, soit une moyenne de plus de deux par seconde.
Dans un autre message sur les réseaux sociaux, Lisa de La Poste affirme que le coffre-fort électronique Digiposte « n’a pas été impacté ». Là encore, le service presse abonde : « l’incident concerne uniquement le site laposte.fr qui est le site e-commerce de La Poste, et non l’espace numérique sécurisé Digiposte ». C'était finalement la seule bonne nouvelle de la matinée d'hier.
« Aucune donnée sensible ni bancaire », La Poste prévient les clients
Si le service presse nous confirme qu'une « mise à jour technique a entrainé un dysfonctionnement », nous n'avons pas plus de détails techniques sur ce « bug ». Le groupe ajoute que des clients ont ainsi eu « accès à des données de profils qui n’étaient pas les leurs (nom, prénom, adresse, date de naissance, opérations postales en cours) ».
Par contre, La Poste affirme « qu'aucune modification de profil ni transaction n’était possible ». De plus, « aucune donnée sensible ni bancaire n’a été divulguée ». À chacun sa définition de « sensible », mais connaitre la liste des « opérations postales en cours » (et donc des destinataires des courriers) n'est pas forcément anodin.
Enfin, « la Poste est en train de contacter les personnes concernées et d’effectuer la déclaration auprès de la CNIL », comme le veut le RGPD. Reste maintenant à attendre une éventuelle réaction publique de la part de la Commission nationale de l'informatique et des libertés.
Commentaires (39)
Je suis allé sur le site en navigation privée et j’étais connecté avec le compte d’un inconnu !
VALVe avait eu le même problème avec Steam, il y quelques années. C’était un problème des serveurs de cache.
Elle est salée celle là quand même…
C’est la faute au stagiaire qui a suivie les préconisations d’un prestataire externe qui à terminé sa mission qui a travaillé avec x qui est en retraite … classique quoi
Heureusement que La Poste ne gère rien de confidentiel !
" />
Oh wait, Digipost, mail laposte.net, Banque Postale…
Leur slogan ? “Développons la confiance”. En effet y a besoin !
C’est aussi un provider d’identité pour France Connect
" />
Tu voulais dire french connection, déjà plus ad hoc.
" />
C’est quand même assez grave… Quelqu’un a analysé les URL ? Ça fait vraiment token dans la nature, et surtout sans aucune sécurité pour s’assurer que ledit token n’est pas intercepté…?? Ça c’est pas un bug, c’est une fonctionnalité manquante…
Pas besoin de token. Comme l’a remarqué dodo021, ça pourrait très bien être un problème de cache (et pas forcément un “bête” cache travaillant avec les urls). Les profils utilisateurs sont en cache, et à cause d’une bourde X, le process gérant les clefs mettant les profils en cache est pété, faisant qu’au lieu de récupérer le cache lié à ton profil, tu as celui d’un autre. C’est possible même si tu as du JWT en LocalStorage ^^ (ton token contenant ladite clef).
Merci pour ces éléments 😀
Hélas, La Poste est pire que Orange niveau pannes, on ne saura à mon avis jamais ce qui s’est passé…
Déjà arrivé sur Pôle Emploi !
Une deco et c’était reparti… Pas rassurant :/
La Poste, cette formidable entreprise qui commercialise nos données : https://www.qwant.com/?q=la%20poste%20cnil&t=videos&o=0
J’ai peur du jour où tout sera “numérique”… Pas sortis de l’auberge!
J’ai eu droit à la fiabilité du site de la Poste pour plusieurs reco en ligne, une catastrophe.
Lorsque j’ai voulu envoyer mon reco de démission, impossible de payer en ligne, erreur 500. J’ai remis en main propre, ça va plus vite.
Dernièrement, pour résilier numéricâble, même bordel. Ouverture d’un ticket au support, ils me demandent en boucle de montrer le cheminement pour faire des captures d’écran, etc, toussa… Rien de rien.
Je les aide à chercher, je suggère une migration de données ou un souci lié à mon compte client (j’utilise pas le service tous les jours, mon compte a 5 ans…), rien.
Je fouille de mon côté et voit dans mon profil que le site me croit domicilié en Afghanistan (soit le 1er pays de la liste quoi). Je mets France, retente mon envoi et ça marche.
Verdict : la recette métier du site, si tant est qu’il y en ait eu une un jour, est complètement à chier.
Vraiment regrettable car le service en lui même de reco en ligne est incroyablement pratique… Car sinon c’est obligation d’aller au bureau pour chômeurs le samedi matin, blindé par tous les gens qui ont un problème dans la vie … Genre un taff.
Service public failure à mes yeux.
Pourtant on y va tous…
Tenez La Banque Postale à partir de septembre bloquera vos accès à vos comptes en ligne si vous n’avez pas souscrit à Certicode Plus :
Bénéficiez de plus d’opérations digitales, en activant gratuitement le service Certicode plus.
A partir de septembre 2019, la 2ème directive européenne sur les services de paiement (DSP2), imposera aux banques de demander une authentification forte pour l’accès aux comptes en ligne.
En activant Certicode Plus dès maintenant, vous disposerez d’une solution simple, gratuite et parmi les plus sures du marché pour profiter pleinement de vos services en ligne.
Il s’agit de la mise en place d’une authentification à 2 facteurs nécessitant l’installation d’un application sur un mobile / une tablette récent/e. Les PC fixes ne sont pas concernés.
Sinon, il faudra adhérer à Certicode simple, et aller au guichet pour cela…
Je plains les personnes peu habiles dans tout ce farta technologique…
On aura le droit à un massage crânien ?
" />
“Opérations digitales”
Ouh punaise je l’ai pas vu passer celle là, ça va encore être un truc sympa ça… J’utilise ce système chez 1&1, ça marche mais c’est lourd, il faut garder le logiciel sur son smartphone, et on a 30 secondes pour saisir le code donné par l’application…
Cela va me faire chier, me faudra un deuxième tel pour gérer le compte de ma mère (elle n’a aucune compétence info et même pas de portable).
" />
Certicode simple est déjà activé par défaut quand on a un accès en ligne.
La seule contrainte est d’aller physiquement à la poste pour associer le bon numéro de mobile. Par défaut ils prenne le numéro de contact lors de l’accès au service.
Sinon, La Poste (pas la banque postale) est un service public, on ne peut pas comparer un service public à une entreprise qui sert des intérêts privés (par privé j’entends potentiellement autres que les intérêts de la France).
C’est bien d’en parler mais rien a propos de l’annonce hier au Quebec d’une fuite de 3.5m de compte banquaire sur 8million de la caisse Desjardins ?
petit joueur
" />
https://krebsonsecurity.com/2019/05/first-american-financial-corp-leaked-hundred…
de ce que j’aie pu en lire, il ne s’agit pas d’une faille ou d’une attaque mais d’une malveillance en interne. Du coup, le rapport avec le numérique est plus que ténu.
Par ailleurs, il ne semble pas y avoir suffisamment d’info pour faire mieux qu’un copier-coller des sites d’actu québécois…
J’en profite… serait-il possible pour NextINpact de faire une enquête sur le service Certicode Plus de la Banque Postale, car l’application qu’ils ont pondu est hallucinante :
" /> : ils font une discrimination selon que vous vivez en France (utilisation mobile ou tablette) ou à l’étranger (utilisation mobile ou tablette ou ligne fixe)…
>>>https://lehollandaisvolant.net/img/34/autoristation-lbp.png
C’est autorisé par la CNIL ce genre de chose ????
Et pour bien les tacler
Ce serait resté combien de temps comme ça s’il n’y avait pas eu d’alerte via Twitter ?????
La Poste, quand ils perdent pas les colis…
J’espère pour leurs clients qui ne se sont pas encore barrés ailleurs en courant qu’ils ont pu résoudre ce problème.
Mais bon, d’après les explications techniques que j’ai lues plus haut, a priori ça peut arriver à tout le monde ou presque, ce genre de pépin. À suivre…
Ce genre d’évènement étant contraire au RGPD, LaPoste peut avoir à payer une amende car elle est garante de la sécurisation des données confidentielles de ses clients.
Bah c’est pas forcément vrai, ni forcément faux.
Suffit d’être une entreprise dans laquelle la communication est tellement inexistante qu’elle doit surement être interdite, où la DSI est considérée comme un centre de coût à raboter au ras des pâquerettes, et que de toute façon les utilisateurs c’est tous des cons.
C’est un portrait caricatural évidemment, mais j’ai eu la désagréable expérience de ce genre de chose. Des incidents récurrents de lenteurs applicatives qui n’ont jamais été remontés jusqu’à nous qui maintenions celle-ci. Et un jour le DSI qui vient péter un câble car il s’est pris un scud du DG car des employés ont posté sur twitter leur ras le bol.
La Poste est était un service public
À noter : service public n’est pas secteur public. (Confusions à éviter)
En l’occurrence, LaPoste propose des services publics, et des services marchands sans mission déléguée par la puissance publique.
non, c’est le même cas que pour Snowden : quand la personne en cause a des privilèges élevés (là le gars était analyste données), à moins d’avoir un mec non stop qui regarde par dessus son épaule, je pense pas que tu puisses l’empêcher s’il décide de faire de la merde
Il me semble qu’un courrier envoyé en recommandé ou un courrier daté par le cachet de la poste a une valeur juridique.
J’utilise merci-facteur.com pour mon courrier, service au top (et moins cher que laposte.fr… !)
" />
Merci, je garde l’adresse sous le coude pour la prochaine fois.
" />