Ou : “Comment j’ai informé le site Imagin’r d’une faille de sécurité à l’ère du web 2.0”.

Vous connaissez peut-être la carte imagin’r, c’est une carte (munie d’une puce RFID !! bouuh) qui permet de voyager en Ile-de-France en fonction des zones pour lesquelles ont a payé. C’est une bonne carte de transport utilisée par 741 000 abonnés (chiffres de 2007 je crois.)

La carte en question.

Cependant, il y a deux semaines, j’ai découvert une énoooorme faille sur le site. En effet, le site est conçu pour administrer ses coordonnées, ses zones, les coordonnées du payeur, etc. et ce, directement via une interface en flash (personnellement, je trouve ça un peu “léger” pour de la sécurité).

La théorie
Pour accéder à son compte, il faut rentrer :

  • son code inscrit sur sa carte imagin’r
  • ainsi que sa date de naissance

Bon, le code de carte imagin’r, en théorie, personne ne l’a. Mais en pratique, ça se discute.

La pratique : 

Mais juste en dessous de ces champs, je vois qu’il y a aussi un petit bouton “cliquez ici si vous n’avez pas votre numéro d’abonné” (bon, il faut bien cliquer sur le cadre orange très fin, car le bouton n’est pas bien fait)

Et là, stupeur.. les champs d’authentification sont :

  • nom
  • prénom
  • date de naissance
  • code postal

.. et c’est tout ! Il suffit donc d’aller chercher n’importe quel compte sur facebook possédant ces informations (quelqu’un qui soit à Paris biensûr) et il est possible de visiter la totalité de son compte Imagin’r, de lui changer ses zones, de recommander une nouvelle carte, de changer les coordonnées personnelles, avoir accès à celles du payeur, etc.

Je vous laisse visionner la démo que j’ai réalisé (à titre PUREMENT informatif, avec le compte de quelqu’un qui m’a donné son accord), je vous conseille de la mettre en fullscreen pour mieux voir les textes :

Fin de l’histoire.

Bon, tout ça bien sûr c’était il y a deux semaines et j’ai pris soin de contacter imagin’r, la CNIL, et la RATP, tous m’ont répondu et ils ont réparé la faille. En fait, le site a été hors service durant ces 4 derniers jours, dans le but d’être “réparé”. Mais voilà, ils ont juste enlevé le petit cadre orange qui permettait de se connecter sans son numéro de carte ^___^ !

Bref, l’histoire se termine bien, même si… Même si beaucoup de gens prennent en photo leur carte imagin’r (hein Gonzy :p) et la mette sur flickr… m’enfin!

Je me demande si d’autres sites, pour s’authentifier, demandent ce type d’informations pas très privée à l’heure du web 2.0.

ps : c’est la première fois que je réalise qu’un simple internaute peut alérter d’une faille de sécuriter sur un site et ainsi, protéger des dizaines de milliers de personnes. Je suis un peu fier, j’avoue ^^




2 commentaires

  1. Tu as de la chance que cela se termine bien. Dans le monde des hackers, ce sont souvent les mêmes entreprises, qui une fois prévenue de la faille, portent plainte pour faire taire l’aimable personne qui les a informé.

    Tant mieux que la RATP réagisse ainsi, c’est tout à leur honneur 😀


Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *