Selon nos informations, une faille de la page dédiée aux facturations du site SFR permettait à un abonné quelconque d’avoir accès aux factures des autres clients du FAI. La brèche vient tout juste d'être colmatée par le Centre de Cyberdéfense du FAI, à la Direction des systèmes d’information.
Dans l’espace client du site SFR, l’exploitation de cette brèche était très simple. Comme chez les concurrents, un abonné SFR connecté peut télécharger sa dernière facture. Autre option : il peut aussi lire ce document directement à l’écran. SFR a fait le choix d'incruster ce fichier PDF pour en faciliter la lecture.
D'autres factures accessibles par simple modification d'une URL
Seulement, en fouillant les sources de cette intégration, il est facile de récupérer le lien hypertexte pointant vers le fameux fichier. Le nom de ce fichier est individualisé par une série de chiffres. Nouvel abonné, développeur et spécialiste en sécurité, Michel Gaschet a remarqué néanmoins qu'en modifiant cette variable, il était possible de tomber sur la facture d’autres clients, du moins celles éditées le même jour. En automatisant le processus, des milliers de documents similaires ont potentiellement pu tomber dans les mains d’un utilisateur mal intentionné.
Sur cette facture de synthèse (notre capture ci-dessus), on trouve le nom de l’abonné, son numéro de téléphone, son adresse mail, son numéro de contrat, sa date de fin d’engagement, le montant ponctionné, agrémenté des différentes options, etc. Des données personnelles ouvrant par exemple la voie à une attaque par ingénierie sociale (se faire passer pour tel abonné, afin de récupérer d'autres éléments plus sensibles encore).
SFR alertée, la faille a été colmatée le 1er mars. Histoire close ? Pas nécessairement. Ce dossier, géré par le Centre de Cyberdéfense à la Direction des systèmes d’information, devrait maintenant connaître d’autres suites.
Les FAI, la violation des données à caractère personnel et la CNIL
En cas de violation de données à caractère personnel, c’est-à-dire destruction, perte, altération, divulgation ou accès non autorisé, les FAI sont en effet soumis à des obligations particulières. La faute à l’article 34 Bis de la loi informatique et libertés. Le fournisseur de services de communications électroniques doit en effet alerter « sans délai, la Commission nationale de l'informatique et des libertés » de cette violation.
De plus, dès que cette violation peut porter « atteinte aux données à caractère personnel ou à la vie privée d'un abonné ou d'une autre personne physique », le même acteur a l’obligation d’avertir également les victimes. Cette seconde obligation n’est cependant plus nécessaire si la CNIL constate « que des mesures de protection appropriées ont été mises en œuvre par le fournisseur afin de rendre les données incompréhensibles à toute personne non autorisée ».
Dans tous les cas, le FAI doit tenir à jour un inventaire des violations de données à caractère personnel (modalités, effet, patchs, etc.) lui-même tenu à la disposition de la commission.
Contacté, SFR n'a pas souhaité faire de commentaire.
