Une faille de sécurité dans le suivi des colis de Colissimo.fr

Dis moi où tu es je te dirai où je suis 77
Marc Rees
Le site Colissimo.fr est victime d'une faille de sécurité. Avec lui, le site de la Poste permet à un client enregistré de suivre le parcours non seulement de ses colis mais également des colis de tiers. Un utilisateur malintentionné peut au surplus faire varier les alertes pour se tenir informé des pérégrinations de cette expédition.

Un lecteur(*) nous a averti d'un bug : les variables encadrant ces données ne sont pas assez hermétiques. Du coup, lorsqu’un utilisateur se connecte à son espace personnel de Colissimo.fr pour y enregistrer et suivre ses colis, il peut sans effort ou presque suivre les colis d’autres clients. Comme outil, un simple navigateur suffit. Dans une démarche responsable, nous n’en dirons pas plus pour l’heure.

la Poste Colissimo.fr
Notre suivi d'un colis personnel

Informée ce matin, la Poste nous indique qu’une réponse officielle sera apportée via son service de communication. Dès à présent, la direction nous informe cependant que ses équipes sont sur le coup. « Au courant de cette faille, nous sommes sensibilisés aux problématiques soulevées. Nous mettons tout en œuvre pour résoudre ce problème dans les jours à venir. » Pour les utilisateurs, nous assure l'entreprise, le problème détecté est sans impact sur le fonctionnement du site qui permet toujours de suivre les colis enregistrés...

(*) Merci à Guillaume Cornet, auteur de cette découverte