par
albat » 01 sept. 2006, 10:53
Dans plusieurs sujets sur ce forum, nous rappelons que le passage de variables
au moyen de la méthode GET (c'est-à-dire : visibles dans l'URL) n'est nullement sécurisé.
Ainsi, si sur l'espace client d'un site, vous êtes inscrit sous le numéro 46523
et si l'URL donnant accès à vos infos est du genre
www.site.com/fiche.php?id=46523,
n'importe qui peut avoir accès aux informations (confidentielles) de tous les autres inscrits,
simplement en changeant le numéro de l'id inscrit dans l'URL :
www.site.com/fiche.php?id=46524
www.site.com/fiche.php?id=46525
www.site.com/fiche.php?id=46526
etc...
Ça paraît évident, non ?
Eh bien, malgré tout, y en a qui semblent continuer à commettre de telles imprudences...
Une fuite de données personnelles à la RATP
L’UFC Que Chosir vient de révéler un problème de protection des données
sur le site Internet de la RATP (régie autonome des transports parisiens).
Selon l’association de défense des consommateurs, il a permis durant tout cet été
« à n'importe qui d'accéder à des centaines de formulaires préremplis ».
Il s’agissait spécialement de quelques centaines de formulaires d'adhésion
au service Navigo (un pass avec abonnement sans contact).
Sur chaque formulaire, on pouvait contempler la photo du demandeur,
son état civil, son adresse postale, son mail et son numéro de téléphone.
« Un peu d'imagination et quelques clics suffisaient pour avoir accès
à ces données privées » explique l’UFC.
En fait, un particulier qui s’enregistrait en ligne s’est aperçu
que l’URL de son formulaire correspond en partie à son numéro client.
Surprise : en modifiant à la main ce numéro dans l’adresse,
il parvint dynamiquement à consulter le formulaire des autres clients.
Imparable.
« Au final, [le consommateur] a pu avoir accès à pas moins de 1 400 formulaires préremplis ! »
apprend-on du groupement qui publie une capture anonymisée de la fuite (cf. image).
(suite de l'article sur
http://www.pcinpact.com/actu/news/31083 ... a-RATP.htm)
À mon avis, on va bientôt trouver des annonces de la RATP dans le forum "offres d'emploi"...
Dans plusieurs sujets sur ce forum, nous rappelons que le passage de variables
au moyen de la méthode GET (c'est-à-dire : visibles dans l'URL) n'est nullement sécurisé.
Ainsi, si sur l'espace client d'un site, vous êtes inscrit sous le numéro 46523
et si l'URL donnant accès à vos infos est du genre [b]www.site.com/fiche.php?id=46523[/b],
n'importe qui peut avoir accès aux informations (confidentielles) de tous les autres inscrits,
simplement en changeant le numéro de l'id inscrit dans l'URL :
www.site.com/fiche.php?id=46524
www.site.com/fiche.php?id=46525
www.site.com/fiche.php?id=46526
etc...
Ça paraît évident, non ?
Eh bien, malgré tout, y en a qui semblent continuer à commettre de telles imprudences... #-o
[quote][url=http://www.pcinpact.com/actu/news/31083-Une-fuite-de-donnees-personnelles-a-la-RATP.htm][size=150][b]Une fuite de données personnelles à la RATP[/b][/size][/url]
L’UFC Que Chosir vient de révéler un problème de protection des données
sur le site Internet de la RATP (régie autonome des transports parisiens).
Selon l’association de défense des consommateurs, il a permis durant tout cet été
[i]« à n'importe qui d'accéder à des centaines de formulaires préremplis »[/i].
Il s’agissait spécialement de quelques centaines de formulaires d'adhésion
au service Navigo (un pass avec abonnement sans contact).
Sur chaque formulaire, on pouvait contempler la photo du demandeur,
son état civil, son adresse postale, son mail et son numéro de téléphone.
[i]« Un peu d'imagination et quelques clics suffisaient pour avoir accès
à ces données privées »[/i] explique l’UFC.
En fait, un particulier qui s’enregistrait en ligne s’est aperçu
que l’URL de son formulaire correspond en partie à son numéro client.
Surprise : en modifiant à la main ce numéro dans l’adresse,
il parvint dynamiquement à consulter le formulaire des autres clients.
Imparable.
[i]« Au final, [le consommateur] a pu avoir accès à pas moins de 1 400 formulaires préremplis ! »
[/i]apprend-on du groupement qui publie une capture anonymisée de la fuite (cf. image).
(suite de l'article sur http://www.pcinpact.com/actu/news/31083-Une-fuite-de-donnees-personnelles-a-la-RATP.htm)[/quote]
À mon avis, on va bientôt trouver des annonces de la RATP dans le forum "offres d'emploi"... :-*
