Le service presse de La Poste a répondu à nos questions. Il apporte des précisions sur le nombre de comptes concernés et les données qui étaient accessibles. Nous avons mis à jour cette actualité en conséquence.
Hier matin, un vent de panique soufflait sur le site de La Poste. À cause d'un « incident technique », des clients se retrouvaient connectés aux comptes d'autres clients de manière aléatoire. Ils pouvaient accéder aux informations personnelles et à l'historique de commandes. La Poste nous indique que 2 928 comptes ont été touchés.
Des clients de La Poste ont aujourd'hui eu une désagréable surprise lorsqu'ils se sont connectés sur leur compte client : ce n'était pas forcément le leur, mais celui d'une autre personne. Pire, en rafraîchissant la page, un autre apparaissait de manière aléatoire. À chaque fois, il était possible de voir les commandes passées.
Historique de commandes, factures, etc.
« Ce matin je me suis connecté à mon compte la poste sur le navigateur de mon smartphone, avec mon mail et mot de passe habituel. Je suis arrivé sur la page mon compte, et au lieu de "Bonjour Victor" j'avais un "Bonjour Magali". À chaque fois que je rafraichissais la page, j'avais un prénom différent », nous explique un des clients concernés.
Les premiers retours de ce bug semblent remonter un peu avant 10h30. Vers 11h, le compte officiel de La Poste (Lisa) reconnaît le problème : « Bonjour, nous rencontrons actuellement un incident technique au niveau des comptes clients. Soyez rassuré, toutes nos équipes techniques sont mobilisées pour résoudre ce dysfonctionnement au plus vite [...] En attendant, le site est mis en maintenance ». Une sage décision étant donné la gravité du problème.
2 928 comptes impactés en l'espace de 20 minutes, Digiposte épargnée
Le site revient rapidement, avec un fonctionnement qui semble normal. À 11h35, La Poste affirme que « l'incident est résolu » et présente une nouvelle fois ses excuses pour la gêne occasionnée. Aucun détail n'est par contre donné sur l'ampleur et les causes de cet « incident technique ».
Contacté par nos soins, le service presse de la Poste affirme qu'il « n’a duré qu’une vingtaine de minutes ». Suffisant pour que 2 928 comptes client soient concernés par cette fuite de données, soit une moyenne de plus de deux par seconde.
Dans un autre message sur les réseaux sociaux, Lisa de La Poste affirme que le coffre-fort électronique Digiposte « n’a pas été impacté ». Là encore, le service presse abonde : « l’incident concerne uniquement le site laposte.fr qui est le site e-commerce de La Poste, et non l’espace numérique sécurisé Digiposte ». C'était finalement la seule bonne nouvelle de la matinée d'hier.
« Aucune donnée sensible ni bancaire », La Poste prévient les clients
Si le service presse nous confirme qu'une « mise à jour technique a entrainé un dysfonctionnement », nous n'avons pas plus de détails techniques sur ce « bug ». Le groupe ajoute que des clients ont ainsi eu « accès à des données de profils qui n’étaient pas les leurs (nom, prénom, adresse, date de naissance, opérations postales en cours) ».
Par contre, La Poste affirme « qu'aucune modification de profil ni transaction n’était possible ». De plus, « aucune donnée sensible ni bancaire n’a été divulguée ». À chacun sa définition de « sensible », mais connaitre la liste des « opérations postales en cours » (et donc des destinataires des courriers) n'est pas forcément anodin.
Enfin, « la Poste est en train de contacter les personnes concernées et d’effectuer la déclaration auprès de la CNIL », comme le veut le RGPD. Reste maintenant à attendre une éventuelle réaction publique de la part de la Commission nationale de l'informatique et des libertés.
