Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Une chaîne de boulangeries lambine en réaction à la réception d'un rapport de faille affectant son site web
Et expose des millions d'utilisateurs

Le , par Patrick Ruiz

40PARTAGES

11  0 
Le site web de la chaîne américaine de boulangeries Panera Bread a laissé les données des utilisateurs sans la moindre protection pendant des mois. Résultat ? Le chercheur en sécurité Dylan Houlilan a découvert le pot aux roses, ce qui laisse penser que des tiers malveillants pourraient également être en possession desdites informations.

En substance, cela fait huit mois au moins que le site web de la chaîne de boulangeries situées en Amérique expose les données de ses utilisateurs. Le rapport de vulnérabilité adressé à Panera Bread par le chercheur remonte au mois d’août 2017, mais l’intervention de ce dernier n’a pas porté ses fruits puisque les contenus des correspondances, initialement jugés « douteux » par Panera Bread, n’ont pas été exploités. Contacté par Dylan Houlilan hier, Brian Krebs est monté au créneau le même jour pour communiquer de façon plus large sur la faille, un souci avec la structure du site qui permet d’accéder à des informations en principe confidentielles à partir d’URL vulnérables.

Illustration avec un fichier JSON dont le contenu révèle que les données sont stockées en clair. Ainsi, noms de client, adresses e-mail, lieux de résidence, numéros de téléphone, dates d'anniversaire et chiffres des cartes de crédit des utilisateurs du site web pourraient être entre les mains d’acteurs malveillants. De quoi faire sucer les doigts à un pirate à même de constater, comme le précisent Dylan Houlilan et Brian Krebs, qu’il suffit d’effectuer un incrément sur le nombre en bout d’URL – l’identifiant client – pour passer d’un compte à l’autre.


Faisant suite à la publication de Brian Krebs, Panera Bread a passé son site en mode maintenance et a corrigé la vulnérabilité. C’est du moins ce qu’a déclaré John Meister, Chief Information Officer chez Panera dans les colonnes de Fox Business. « Suite aux rapports d'aujourd'hui à propos d'un possible problème au niveau de notre site web, nous avons désactivé la fonction, afin de résoudre le problème. Nos recherches sont encore en cours, mais il n'existe aucune preuve que des informations relatives à des cartes de paiement ou que de grandes quantités de données aient pu être retrouvées ou dérobées », a-t-il précisé.

D’après John Meister, le problème n’aurait concerné qu’une dizaine de milliers de clients. Brian Krebs a fait une nouvelle sortie pour rejeter cette affirmation et a posté d’autres liens à problèmes. En s’appuyant sur des données fournies par Hold Security, une autre firme de sécurité lancée dans les investigations, Brian Krebs a porté le chiffre à 37 millions d’utilisateurs.


À date, le site web de la chaîne de boulangeries est inaccessible ; une posture aux antipodes de l’assurance affichée lors du premier contact avec Dylan Houlilan : « mon équipe a reçu vos courriels qui nous ont paru très suspects, de l’ordre de l’arnaque ; ils ont donc été ignorés. »

Les organisations sont en principe pyramidales et dans des cas comme celui-ci on ne peut que se retourner vers l’individu au sommet pour demander des comptes. Dans le cas Parena, la personne indiquée est Mike Gustavision, directeur de la sécurité des systèmes d’information, un ancien d’Equifax entre 2009 et 2013. Suivez le regard…

Sources

Billet Houlilan

Krebsonsecurity

Et vous ?

Que pensez-vous de cet autre cas de fuite massive de données ?

À quel degré doit-on engager la responsabilité du directeur de la sécurité des systèmes d’information dans ce cas ?

Voir aussi

Les données de 143 millions d'Américains ont été potentiellement exposées à un piratage d'une société de renseignement de crédit

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Hizin
Modérateur https://www.developpez.com
Le 05/04/2018 à 10:24
Ce genre de déclaration me donne la nausée :
D’après John Meister, le problème n’aurait concerné qu’une dizaine de milliers de clients.
"Nous avons plusieurs millions d'utilisateurs, une dizaine de millier seulement seraient concernés"...

Qu'il se fasse pirater sa carte bancaire et vive la tempête que cela cause dans une vie. À force de vivre derrière des abstractions, on oublie les vies qu'elles représentent.
6  0 
Avatar de benjani13
Membre extrêmement actif https://www.developpez.com
Le 05/04/2018 à 11:31
Citation Envoyé par Hizin Voir le message
Ce genre de déclaration me donne la nausée :

"Nous avons plusieurs millions d'utilisateurs, une dizaine de millier seulement seraient concernés"...

Qu'il se fasse pirater sa carte bancaire et vive la tempête que cela cause dans une vie. À force de vivre derrière des abstractions, on oublie les vies qu'elles représentent.
Premièrement comme tu le dis c'est assez méprisant pour les utilisateurs touchés. Et deuxièmement c'est surement un mensonge. Cette excuse est utilisé à tout le coups ("oui y a une brêche, mais elle n'a impacté qu'une petite partie de nos utilisateurs" et je pense que dans 90% des cas tous les utilisateurs sont dans la même base, y a une seule infra, donc si un seul utilisateur peut être touché, tous peuvent l'être aussi.
6  0 
Avatar de setni
Membre habitué https://www.developpez.com
Le 07/04/2018 à 9:36
Ca me rappelle une sale histoire qui m'est arrivé.

Il y a 3 ans (c'est prescrit maintenant ), je postule dans une boite connue, présente à Paris, Amsterdam et SF. Boite se présentant comme une "startup" (avec des vidéos d'apéro cool et de hackathon).

Je suis refoulé.
Il y avait sur le site, un Excel avec la liste de tous leur employé (email et n° de tel.) Accessible en callant les dossiers de leur BO. Il m'a fallu 2 heures et un script de scraping pour récupérer le fichier.

Je l'ai envoyé au RH + CEO France + CTO. Dans le message: Je leur expliquerais mon mode opératoire en échange d'une reconsidération de ma candidature + entretien physique.

Voici la très sympathique réponse que j'ai reçu (par SMS depuis le tel du CEO France) :

Monsieur,

En aucun cas, votre chantage ne trouvera écho auprès de nous.
Sachez que les pratiques de piratages dont vous vous vantez d'avoir la maitrise sont combattues avec la plus grande fermeté.
Je vous conseille de lire attentivement l'article 323-1 du Code pénal.
Une plainte sera déposée contre vous si ces données sont rendues publiques.

Toutes candidatures ultérieur de votre part sera immédiatement rejetée.

Bien à vous
Laissons ces boites se vautrer seules.
7  1 
Avatar de bytecode
Membre actif https://www.developpez.com
Le 05/04/2018 à 1:59
Citation Envoyé par Lyons Voir le message
Ce qui m'étonne le plus dans cette histoire c'est que les gens ressentent le besoin de s'inscrire sur le site d'une boulangerie
De nos jours s'inscrire sur un site pour passer commande et bénéficier de réductions me semble pas illogique.
4  0 
Avatar de Daïmanu
Membre chevronné https://www.developpez.com
Le 05/04/2018 à 10:36
Citation Envoyé par Lyons Voir le message
Ce qui m'étonne le plus dans cette histoire c'est que les gens ressentent le besoin de s'inscrire sur le site d'une boulangerie
J'ai déjà été client d'une boulangerie très côtoyée, et l'établissement a eu l'idée de pouvoir faire des commandes en lignes via un formulaire en ligne avec inscription obligatoire. Crois moi c'était très pratique quand on ne doit pas faire la file de 20 minutes tous les jours juste pour le repas du midi.

C'est une boulangerie indépendante, elle ne fait pas partie d'une chaîne ou autre. Donc ça me surprendrait pas si elle utilise un prestataire peu chère et de qualité douteuse pour déléguer ce genre de site web. Mais là le scandale touche toute un chaîne, ce qui est vraiment surprenant (et aberrant) !
3  0 
Avatar de CoderInTheDark
Membre chevronné https://www.developpez.com
Le 04/04/2018 à 18:57
C'est sur le RSSI à des supers références

Le pire dans cette histoire c'est le dénie
1  0 
Avatar de bytecode
Membre actif https://www.developpez.com
Le 04/04/2018 à 19:04
C'est bien que des gens est encore la foi pour partager des failles sans que ça se retourne contre eux
1  0 
Avatar de Lyons
Membre éclairé https://www.developpez.com
Le 04/04/2018 à 21:51
Ce qui m'étonne le plus dans cette histoire c'est que les gens ressentent le besoin de s'inscrire sur le site d'une boulangerie
3  2 
Avatar de griggione
Membre averti https://www.developpez.com
Le 13/04/2018 à 8:12
Ce qui m'étonne le plus dans cette histoire c'est que les gens ressentent le besoin de s'inscrire sur le site d'une boulangerie
+1
0  0 
Avatar de chrtophe
Responsable Systèmes https://www.developpez.com
Le 13/04/2018 à 8:30
@setni, tu aurais du utiliser le protocole Zataz.
0  0