Quand des billets électroniques SNCF fuitent sur les moteurs de recherche

Quand des billets électroniques SNCF fuitent sur les moteurs de recherche

De la fuite dans les ID

Avatar de l'auteur
Marc Rees

Publié dans

Droit

28/03/2017 5 minutes
46

Quand des billets électroniques SNCF fuitent sur les moteurs de recherche

C’est un lecteur qui nous a avertis de la brèche. Des billets électroniques SNCF se sont retrouvés référencés sur les moteurs de recherche. L’alerte, passée d’abord par une plateforme de l’ANSSI, n’est toujours pas expliquée mais a suscité déjà plusieurs mises à niveau techniques.

Avec une requête spécialement formée dans les moteurs de recherche, il était possible de retrouver des dizaines de billets électroniques de clients SNCF. Embêtant puisque ces données personnelles permettent de savoir qui s’est déplacé, où et quand, avec l’aide du réseau ferré ! 

Fin février, un lecteur, Adrien Jeanneau, avait d’abord utilisé les bons soins de la plateforme de signalement de l’ANSSI. Et pour cause, on peut désormais plus facilement signaler à l’Agence nationale pour la sécurité de systèmes d’information la présence de failles de sécurité. La loi Lemaire a en effet évincé les rigueurs de l’article 40 du Code de procédure pénale, lequel oblige normalement les autorités à signaler à la justice l’identité de ceux qui auraient possiblement commis un délit (informatique ou non). De toute évidence, difficile d’esquisser ici le début d’une quelconque responsabilité du découvreur : celui-ci s’est contenté d’utiliser un moteur de recherche, en injectant des variables glanées dans les URL menant vers des e-billets.

sncf ebillet faille

L'alerte ANSSI, une réunion de crise à la SNCF

« Nous tenons à vous rappeler qu'aucune contrainte légale n'oblige la victime d'une vulnérabilité à corriger son site » s’était hasardée à lui répondre l’ANSSI, avant de préciser qu'évidemment son signalement avait été remonté au responsable du traitement. Et quel responsable... La SNCF est un « opérateur d’importance vitale » (OIV) astreint à des contraintes fortes depuis la loi de programmation militaire.

Dans la foulée, début mars, une réunion de crise est organisée dans les hautes sphères de la Société nationale des chemins de fer français. « Après analyse, les équipes sécurité de SNCF groupe et de SNCF Mobilité ont effectivement constaté que les moteurs de recherche référençaient quelques dizaines d’URL permettant d’accéder à certains PDF des e-billets ou justificatifs de voyage de certains clients » nous a confirmé la direction de l’entreprise, avant de relativiser, les pieds sur la pédale de frein : « quelques dizaines sur 15 000 en moyenne émis par jour ». 

sncf ebillet faillesncf ebillet faille

Une fuite inexpliquée, la faute aux tiers ?

Si en l'état, il est donc imprudent de parler d’hémorragie, la SNCF ajoute malgré tout que « ces URL sont envoyées par mail aux personnes concernées, elles sont personnelles et n’ont pas vocation à être référencées par les moteurs de recherche ». Il y a cependant un caillou dans le ballast : « nos recherches ainsi que celles menées par notre réseau de Threat Intelligence externe n’ont pas permis de trouver la source et l’explication de ce référencement ». 

Les équipes techniques ont eu beau chercher dans leurs infrastructures, elles ont aujourd’hui la quasi-certitude que la fuite viendrait d’ailleurs. « L’explication la plus probable, avancent-elles sur la pointe des pieds, est que certains clients ont stocké cette URL personnelle sur des réseaux sociaux, des sites privées, barres d’outils, etc. qui ont permis aux moteurs de recherche d’indexer cette ressource ». 

La SNCF met du plâtre sur une jambe de bois

Sans connaître la cause officielle de cette fuite, la SNCF a pris des mesures d'urgence pour supprimer l'indexation sauvage en jouant dans un premier temps avec les variables du fichier Robots.txt. Placé à la racine d'un site, ce fichier permet d'exclure les contenus - ici des e-billets - de tout risque de référencement. « Ces paramètres permettent de bloquer l’exploration et l’indexation de l’URL par les moteurs de recherche. Le 2 mars, [ils] ont été installés en production. Nous ne devrions plus retrouver de nouvelles URL sur les moteurs de recherche, les anciennes restant par contre encore en cache ».

Cette mise en cache est une véritable photocopie du web réalisée par les moteurs. En toute logique, elle a été purgée cette semaine, par le simple écoulement du temps. C'est ce que nous avons constaté aujourd'hui.

« Nous avons aussi entrepris de sécuriser davantage le flux de cette application, ajoute la SNCF. Là encore, « cela prendra un moment, le temps que les e-billets associés aux URL déjà émises en HTTP soient consommés. Ils ont en effet une durée de visibilité qui peut aller jusqu’à deux mois entre l’achat et l’utilisation ». Il faut déduire de ces éléments que la SNCF compte (enfin) passer ces pages en HTTPS pour mieux sécuriser ces données sensibles... Même si cela ne change rien à leur accessibilité directe. Toutes ces rustines contraignent certes les moteurs à ne pas référencer ces pages, mais sans chantier plus ambitieux, elles restent accessibles à l'internaute lambda, sans contrôle d'accès.

Dans le compte rendu qu’elle nous a adressé, la société tient malgré tout à « rappeler l’importance qu’elle accorde à la protection des données personnelles de ses clients et de ses agents. Un réseau d’acteurs, au service de la sécurité SI, est en charge de mettre en œuvre les mesures adaptées à la protection de ces données, que ce soit dans le cadre de nouveaux projets ou en réaction lors d’incident ».

46

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

L'alerte ANSSI, une réunion de crise à la SNCF

Une fuite inexpliquée, la faute aux tiers ?

La SNCF met du plâtre sur une jambe de bois

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (46)




De toute évidence, difficile d’esquisser ici le début d’une quelconque responsabilité du découvreur : celui-ci s’est contenté d’utiliser un moteur de recherche.



Faut dire ça à Bluetouff. <img data-src=" />


#fail



Ca arrive que d’autres services avec url “privé” sans authentification atterrissent dans les moteurs de recherche ? Pas si souvent il me semble…


Un lien vers un PDF du billet de train accessible sans identification ni en https? <img data-src=" />

Bravo la sécurité de la SNCF! <img data-src=" />








Silly_INpact a écrit :



Un lien vers un PDF du billet de train accessible sans identification ni en https? <img data-src=" />

Bravo la sécurité de la SNCF! <img data-src=" />







c’est une fonctionnalité pour retrouver facilement son billet <img data-src=" />



Dur :/



ça doit être tendu de gérer ça&nbsp;<img data-src=" />


c’est pas ça l’open data ?








Didium a écrit :



c’est pas ça l’open data ?







non ça c’est l’open-bar



C’est pour signaler la fin des IDTGV : plus de contrôle avant de monter dans la rame, plus de contrôle avant la montée dans la ram…

Heureusement qu’elle va nous faire préférer le train.


Robots.txt c’est pas pour les toutous…


J’espère que le fichier TES est dans les mains d’un autre OIV … <img data-src=" />


Clairement honteux <img data-src=" />


Bluetouff ne s’est pas contenté d’utiliser un moteur de recherche. Il a fureté sur le site, téléchargé des Go de données, et cherché quelqu’un pour rédiger un ‘scoop’ sur le sujet. Il a ensuite expliqué tout cela aux policiers qui l’interrogeaient (après ça, difficile à plaider qu’il n’avait pas conscience qu’il n’aurait pas du avoir accès à ces données). Sa condamnation reste discutable, mais elle ne porte pas sur le fait d’avoir trouvé des infos sur un moteur de recherche.

Pour faire un parallèle, si ici notre découvreur, plutôt que le signaler à l’ANSSI, avait indexé un maximum de données via cette faille, puis tenté de les utiliser, il serait condamnable de la même façon que Bluetouff (peut-être même plus, s’agissant de données personnelles).








Didium a écrit :



c’est pas ça l’open data ?









darkbeast a écrit :



non ça c’est l’open-bar







<img data-src=" /> Merci Messieurs, pour cette bonne rigolade ! <img data-src=" /> <img data-src=" />



Petite remarque sémantique mais qui a son important “la” SNCF n’existe plus ! En effet, depuis la réforme ferroviaire de 2014 qui a “rattaché” (avec des guillemets) RFF (devenu SNCF Réseau) à la Société Nationale des Chemins de fer Français (devenu SNCF Mobilité) le nom des trois EPICs sont : SNCF (pour la holding), SNCF Réseau et SNCF Mobilité.



La holding, “SNCF” donc, possédant les deux autres sociétés. Cela a toute sont importance bien que cela puisse sembler négligeable : il s’agit de préparer (organisationnelle et sémantiquement) le démantèlement et la privatisation de l’ex société nationale. Au passage, remarquez deux choses : dans les annonces sonores, il n’est plus dit “la SNCF” mais bien “SNCF” et deuxièmement, la réforme a été présentée au grand public comme “réunissant 2 EPICs en 1 seul comme avant”, or en fait celle ci a créer un troisième EPIC (et donc un 3eme conseil d’administration…), ne simplifiant pas du tout l’organisation…



Bref, désolé pour ce léger HS mais ce point sémantique me paraissait important <img data-src=" />





PS : EPIC = Établissement Public Industriel et Commercial (SNCF, RATP, …)


Ça peut arriver, mais c’est clairement de la négligence. Il existe des outils facile à mettre en œuvre et qui devraient être évidents dans ce genre de cas : robots.txt, meta no-index, etc.



Il est notoire que Google peut trouver des URL pourtant bien cachées parfois, ça devrait être un automatisme.








darkbeast a écrit :



non ça c’est l’open-bar





De l’open voiture bar ?



Le problème est qu’avec robots.txt, Google il s’interdit de parcourir les chemins exclus, mais pas leur référencement et leur affichage dans les résultats de recherche.



Ainsi, si Google est convaincu qu’un lien qu’il n’a jamais visité pour cause de robots.txt correspond à une requête, celle-ci fera partie des résultats de recherche, avec une annotation concernant robots.txt en guise de résumé de la page.



En HTML, la solution est d’insérer une balise META, plutôt que de faire appel à robots.txt. Toutefois, cela implique de laisser le robot charger l’URL, ce qu’un éventuel robots.txt empêche de faire. De plus, pas moyen de l’utiliser avec un PDF. Une solution consisterait alors à laisser les robots d’indexation le billet PDF, mais d’ajouter l’entête HTTP X-Robots-Tag.



Une autre solution serait, pour la SNCF, d’utiliser les services de Google Search Console pour exclure explicitement certaines URL de l’index. Bing propose une solution équivalente.


lol.



Ils n’ont pas changé. 7 ans plus tôt :&nbsphttp://www.lemonde.fr/societe/article/2010/03/17/les-coordonnees-de-millions-de-…



https://www.nextinpact.com/archive/55904-faille-donnees-personnelles-voyagessncf…



Il suffisait de rentrer des numéros de carte au hasard (type carte jeune, ex 12-25) dans le formulaire de renouvellement, jusqu’à tomber sur une carte existante, et ça sortait les coordonnées du client associé.



Ils sont toujours aussi pro ^^


<img data-src=" /> le sous-titre !








tibubu257 a écrit :



EPIC = Établissement Public Industriel et Commercial

&nbsp;





&nbsp;ECOLEGRAM : Etablissement Commercial et Organisationnel de Libéralisation Economique Garanti par les Rendements, Apports et Mensualités.



Oui, ça ne veut rien dire, j’avais juste envie de jouer sur les rétroacronymes <img data-src=" />



Je m’incline il m’a fallut relire 2 fois avant de comprendre !! <img data-src=" />

<img data-src=" /><img data-src=" />








tpeg5stan a écrit :



ECOLEGRAM : Etablissement Commercial et Organisationnel de Libéralisation Economique Garanti par les Rendements, Apports et Mensualités.



Oui, ça ne veut rien dire, j’avais juste envie de jouer sur les rétroacronymes <img data-src=" />





<img data-src=" /> pour l’effort <img data-src=" />



Je serais curieux de voir quelles sont les adresses mails concernées. Genre, ne serait-ce pas exclusivement les e-billets envoyés sur des adresses gmail ? (qui sont donc scannés par Google).


Donc les liens ne sont plus référencés, super. Mais ça m’a l’air d’être une simple rustine, surtout si les billets sont toujours accessibles en clair, sans login/mot de passe…



Et puis c’est le meme bousin qu’il y a 10 ans, où on pouvait avoir accès au profil de n’importe quel abonné Navigo juste en modifiant la variable qui va bien dans l’URL…


SNCF, c’est possible&nbsp; ! <img data-src=" />



Purée les boulet … surement le coup d’un stagiaire <img data-src=" />








tibubu257 a écrit :



Petite remarque sémantique mais qui a son important “la” SNCF n’existe plus ! En effet, depuis la réforme ferroviaire de 2014 qui a “rattaché” (avec des guillemets) RFF (devenu SNCF Réseau) à la Société Nationale des Chemins de fer Français (devenu SNCF Mobilité) le nom des trois EPICs sont : SNCF (pour la holding), SNCF Réseau et SNCF Mobilité.



La holding, “SNCF” donc, possédant les deux autres sociétés. Cela a toute sont importance bien que cela puisse sembler négligeable : il s’agit de préparer (organisationnelle et sémantiquement) le démantèlement et la privatisation de l’ex société nationale. Au passage, remarquez deux choses : dans les annonces sonores, il n’est plus dit “la SNCF” mais bien “SNCF” et deuxièmement, la réforme a été présentée au grand public comme “réunissant 2 EPICs en 1 seul comme avant”, or en fait celle ci a créer un troisième EPIC (et donc un 3eme conseil d’administration…), ne simplifiant pas du tout l’organisation…



Bref, désolé pour ce léger HS mais ce point sémantique me paraissait important <img data-src=" />





PS : EPIC = Établissement Public Industriel et Commercial (SNCF, RATP, …)







Mais là, c’est carrément un EPIC fail <img data-src=" />









Vilainkrauko a écrit :



SNCF, c’est possible&nbsp; ! <img data-src=" />



Purée les boulet … surement le coup d’un stagiaire <img data-src=" />





Pourquoi serait-ce à cause d’un stagiaire ? La diffusion vers l’extérieur des liens privés ne vient sans doute pas de la SNCF. Ça peut être un gmail qui crawle les liens trouvés dans les mails, ça peut être des boulets qui ont rendu le lien public par maladresse, ça peut être un webmail qui s’est retrouvé indexé par erreur suite à un problème chez l’hébergeur de mail.

Si le problème était à la SNCF, ce serait tout le monde ou personne, pas juste quelques uns.

&nbsp;



D





alex.d. a écrit :



Pourquoi serait-ce à cause d’un stagiaire ? La diffusion vers l’extérieur des liens privés ne vient sans doute pas de la SNCF. Ça peut être un gmail qui crawle les liens trouvés dans les mails, ça peut être des boulets qui ont rendu le lien public par maladresse, ça peut être un webmail qui s’est retrouvé indexé par erreur suite à un problème chez l’hébergeur de mail.

Si le problème était à la SNCF, ce serait tout le monde ou personne, pas juste quelques uns.







Disons que la part de responsabilité coté SNCF concerne surtout d’avoir laissé l’indexation possible : pas de robot.txt, pas d’analyse de l’agent etc.









CryoGen a écrit :



D



Disons que la part de responsabilité coté SNCF concerne surtout d’avoir laissé l’indexation possible : pas de robot.txt, pas d’analyse de l’agent etc.





La part de responsabilité de la sncf, c’est de ne pas demander l’authentification de la part du client pour voir ses propres billets. <img data-src=" />

Les responsables restent la SNCF en premier lieu.



Bof, des liens à usage limité dans le temps, avec une partie difficile à forger (à base de uuid ou autre) peut rester en accès “libre”. Ca reste du “lecture seule” en plus, rien de bien méchant…



Évidemment, reste à voir combien de temps ce lien reste valide…


Il y a exactement le même problème du côté des billets d’avions et de tout Amadeus. Le numéro de dossier fait office de mot de passe, comme à la SNCF.

&nbsp;








CryoGen a écrit :



Bof, des liens à usage limité dans le temps, avec une partie difficile à forger (à base de uuid ou autre) peut rester en accès “libre”. Ca reste du “lecture seule” en plus, rien de bien méchant…



Évidemment, reste à voir combien de temps ce lien reste valide…



Rien de bien méchant, sauf que “tout le monde” peut voir quels déplacements telle personne a fait à tel moment… Ca peut être potentiellement une belle atteinte à vie privée, et surtout provoquer des problèmes pour certains.



Tout le monde, parce qu’il y a un index. Va forger une url à la main pour chopper un billet, et encore mieux précisément si tu veux tracker quelqu’un…



Si en plus l’url est limitée dans le temps (ou en nombre d’accès) tu as vite une solution simple et efficace.



Est-ce donc vraiment indispensable d’avoir l’authentification pour çà ? Pas toujours. En plus ca permet d’acheter des billets pour d’autres personnes et de leur transférer le lien de téléchargement par exemple…



Un peu comme les parages Google Drive par exemple. Bon après tu me diras que GDrive te permet aussi de limiter le partage, le choix revenant à l’utilisateur : c’est un meilleur compromis que la SNCF <img data-src=" />








alex.d. a écrit :



Il y a exactement le même problème du côté des billets d’avions et de tout Amadeus. Le numéro de dossier fait office de mot de passe, comme à la SNCF.



&nbsp;







En termes de pratiques de développement, c’est un peu dégueu comme solution.&nbsp;

C’est openbar, faite ce que vous voulez de nos données&nbsp;<img data-src=" />

&nbsp;

J’avais noté le même problème sur le site de l’EPITA pour s’inscrire il y a quelques années. On pouvait accèder à tous les cvs et bulletins scolaires des élèves s’inscrivant à l’école. C’était aussi très moyen.



&nbsp;





CryoGen a écrit :



Tout le monde, parce qu’il y a un index. Va forger une url à la main pour chopper un billet, et encore mieux précisément si tu veux tracker quelqu’un…




Si en plus l'url est limitée dans le temps (ou en nombre d'accès) tu as vite une solution simple et efficace.       






Est-ce donc vraiment indispensable d'avoir l'authentification pour çà ? Pas toujours. En plus ca permet d'acheter des billets pour d'autres personnes et de leur transférer le lien de téléchargement par exemple...      






Un peu comme les parages Google Drive par exemple. Bon après tu me diras que GDrive te permet aussi de limiter le partage, le choix revenant à l'utilisateur : c'est un meilleur compromis que la SNCF <img data-src=">








Concrètement tu fais un script qui scans les urls, tu récupères ce que      



tu veux. Et il me semble que certaines informations d’un billet de

train sont des données à caractères personnelles qui nécessitent des

mesures de protections et de confidentialité.



Je te conseille de lire la partie sur la sécurité et la confidentialité

https://www.service-public.fr/professionnels-entreprises/vosdroits/F24270









CryoGen a écrit :



Tout le monde, parce qu’il y a un index. Va forger une url à la main pour chopper un billet, et encore mieux précisément si tu veux tracker quelqu’un…



Script. No prob.







CryoGen a écrit :



Si en plus l’url est limitée dans le temps (ou en nombre d’accès) tu as vite une solution simple et efficace.



Script. No prob.







CryoGen a écrit :



Est-ce donc vraiment indispensable d’avoir l’authentification pour çà ? Pas toujours. En plus ca permet d’acheter des billets pour d’autres personnes et de leur transférer le lien de téléchargement par exemple…



Faut dire que c’est un effort tellement surhumain d’enregistrer un PDF et l’envoyer par mail… <img data-src=" />







CryoGen a écrit :



Un peu comme les parages Google Drive par exemple. Bon après tu me diras que GDrive te permet aussi de limiter le partage, le choix revenant à l’utilisateur : c’est un meilleur compromis que la SNCF <img data-src=" />



GDocs permet de ne pas partager, contrairement à là.









Joe Le Boulet a écrit :



Concrètement tu fais un script qui scans les urls, tu récupères ce que

tu veux.







Je ne sais pas comment sont forger les url pour les billets, mais si c’est à base d’uuid ou similaire, tu peux attendre un moment avec ton script avant d’avoir quelque chose en retour… surtout s’il y a du fail2ban en plus.







Joe Le Boulet a écrit :



Et il me semble que certaines informations d’un billets de

trains sont des données à caractères personnelles qui nécessites des

mesures de protections et de confidentialité.



Je te conseille de lire la partie sur la sécurité et la confidentialité

https://www.service-public.fr/professionnels-entreprises/vosdroits/F24270







Je n’ai rien contre la vie privée et la sécurité hein. Je dis juste que tout cloisonner derrière une authentification n’est pas toujours la bonne solution.









Patch a écrit :



Script. No prob.



Script. No prob.







Bah voyons… çà s’apparente au brute-force, et on sait déjà que c’est loin d’être efficace. Tu vas t’amuser à “investir” du temps et de l’énergie pour un résultat random ? Je ne crois pas non.



Comme je l’ai indiqué, je ne sais pas comment la SNCF forge ses url, et encore moins s’il y a des sécurités en plus (genre fail2ban).



J’argumente surtout sur le coté “tout caché derrière une auth sinon c’est une faute”, pas sur le cas précis de la SNCF…







Patch a écrit :



Faut dire que c’est un effort tellement surhumain d’enregistrer un PDF et l’envoyer par mail… <img data-src=" />







Pour certaine personne oui, surtout que les individus utilisent de plus en plus souvent leurs smartphone ou leur tablette, bien moins pratique pour faire de la conversion de pdf…









Patch a écrit :



GDocs permet de ne pas partager, contrairement à là.





C’est ce que j’ai indiqué oui.









CryoGen a écrit :



Je ne sais pas comment sont forger les url pour les billets, mais si c’est à base d’uuid ou similaire, tu peux attendre un moment avec ton script avant d’avoir quelque chose en retour… surtout s’il y a du fail2ban en plus.







Je n’ai rien contre la vie privée et la sécurité hein. Je dis juste que tout cloisonner derrière une authentification n’est pas toujours la bonne solution.





Fail2ban c’est un bon début mais ca n’empêche que c’est laissé ouvert à tous les vents.



Dans le cas présent, quelles auraient pu être les autres solutions à leur disposition pour protéger ces données et les laisser à l’unique disposition du voyageur sur le site? question sérieuse.









Joe Le Boulet a écrit :



Fail2ban c’est un bon début mais ca n’empêche que c’est laissé ouvert à tous les vents.



Dans le cas présent, quelles auraient pu être les autres solutions à leur disposition pour protéger ces données et les laisser à l’unique disposition du voyageur sur le site? question sérieuse.





Cocher une case (lien / pas lien) par exemple : théoriquement, quand tu veux se genre de lien ‘semi-privé’ c’est pour l’envoyer à quelqu’un… et évidemment tu ne veux pas partager les info de ton compte. Ca serait la solution la plus simple.



Fail2ban, pas d’indexation, limitation dans le temps et/ou nombre d’accès… si, en premier, ton url est forgée correctement, il n’y a pas de soucis… solution à mettre en place de toutes manières.









CryoGen a écrit :



Bah voyons… çà s’apparente au brute-force, et on sait déjà que c’est loin d’être efficace. Tu vas t’amuser à “investir” du temps et de l’énergie pour un résultat random ? Je ne crois pas non.



Dépend de ton but. Tu peux avoir des résultats très précis pour une personne en particulier.







CryoGen a écrit :



Comme je l’ai indiqué, je ne sais pas comment la SNCF forge ses url, et encore moins s’il y a des sécurités en plus (genre fail2ban).



Vu qu’on peut les voir juste par un moteur de recherche, ca serait étonnant qu’ils en aient mis…







CryoGen a écrit :



Pour certaine personne oui, surtout que les individus utilisent de plus en plus souvent leurs smartphone ou leur tablette, bien moins pratique pour faire de la conversion de pdf…



Conversion? Quelle conversion? Quand tu récupères ton billet, c’est déjà un PDF hein.









Patch a écrit :



Dépend de ton but. Tu peux avoir des résultats très précis pour une personne en particulier.







Tu peux demander à ton script de viser une personne en particulier ? Balèse (bon si la SNCF mais en gros “NOMCLIENT&CLE_SECU_4_CARACT” évidement on est dans la mouise <img data-src=" />







Patch a écrit :



Vu qu’on peut les voir juste par un moteur de recherche, ca serait étonnant qu’ils en aient mis…







Oui clairement une erreur grossière… laissant craindre et pas uniquement pour la récupération des billets d’ailleurs







Patch a écrit :



Conversion? Quelle conversion? Quand tu récupères ton billet, c’est déjà un PDF hein.







Désolé j’ai lu un peu vite ton message. J’ai confondu le “enregistrer” avec “enregistrer la page -&gt; pdf” bref <img data-src=" />

Je ne connais pas ce service, j’ai toujours récupéré mon billet via les distributeurs.









CryoGen a écrit :



Cocher une case (lien / pas lien) par exemple : théoriquement, quand tu veux se genre de lien ‘semi-privé’ c’est pour l’envoyer à quelqu’un… et évidemment tu ne veux pas partager les info de ton compte. Ca serait la solution la plus simple.



ok&nbsp; pourquoi pas.







CryoGen a écrit :



Fail2ban, pas d’indexation, limitation dans le temps et/ou nombre d’accès… si, en premier, ton url est forgée correctement, il n’y a pas de soucis… solution à mettre en place de toutes manières.





Je valide et particulièrement le “solution à mettre en place de toutes manières.” <img data-src=" />

J’aurai tendance à empiler les couches en termes de sécurité (et beaucoup). je suis peut être un peu extrême dans la manière dont je vois les choses&nbsp; <img data-src=" />



Bien vu ! C’est vrai que faut pas l’oublier ça ! :)


j’adore le c’est pas nous, il n’y a aucun probleme, mais on mets quand même a jours robots.txt au cas ou <img data-src=" /> ce serais un peu de notre fautes.



concernant fail2ban et autre generation aléatoire de UUID a base de sel et de sha2, voyons les gars, c’est la SNCF hein ! ceux la meme qui, liste vraiment longue …….



en prenant la config par défaut des logiciels de leur infra, hop vous avez tous ce qu’il faut pour générer les uuid a la maison


Je sais, c’était une remarque humoristique. <img data-src=" />


Et ils peuvent pas faire qu’il y aie un contexte de session user loguer pour autoriser l’accès a ces fichiers ? c’est aberrant que ce soit publié en http en plus …