Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Numericable – On a échappé au pire

Kévin (ça ne s’invente pas), fidèle lecteur de Korben.info, m’a envoyé un petit mail hier soir pour me signaler une importante faille dans le système de facturation de Numericable. Je reçois de temps en temps des mails de lecteurs qui m’informent de tel ou tel faille de sécurité dans tel ou tel site et en général, je ne donne pas suite.

L’une des pires choses à faire serait de publier la faille telle quelle sans prevenir la société et laisser tous les furieux jouer avec (puis ensuite de me prendre un procès). La bonne attitude a adopter est plutôt le principe du responsible disclosure. C’est à dire, prévenir la société, attendre que la faille soit patchée et faire un article pour l’expliquer.

Mais j’ai déjà vu que même en pratiquant le responsible disclosure, certains (genre Zataz) se prenaient des procès par des sociétés qui ne comprennent pas grand chose à Internet et à la sécurité. Du coup, lorsque je découvre l’existence d’une faille, je laisse pisser et je ne fais ni article, ni email à la société concernée. Pas cool mais je préfère ne pas prendre de risque.

M’enfin, pour une fois, j’ai décidé de faire une exception avec Numericable… Ils bossent dans le net, donc il y a des chances qu’ils comprennent ces trucs puis je ne sais pas, je le sentais bien. Bref, je les ai prévenu de l’existence de cette faille et moins de 24h après, elle était corrigée. Magique !

En effet, via la simple URL suivante :

https://moncompte.numericable.fr/pages/View/InvoiceToShow.aspx?invoice=%2Fstockage%2F2011%2F04%2F63358%2F0000%2F4083.pdf

et simplement en tapant un ID au hasard (ici 4083) dans celle-ci, il était possible d’accèder aux factures des clients sans aucune identification. Argh !

Quelqu’un de mal intentionné aurait pu grâce à une petite moulinette, récupérer toutes les factures des clients de Numéricable , à savoir :

  • Le nom et son prénom du client
  • Son adresse
  • Son n° client
  • Le forfait dont il dispose
  • Les émissions achetées sur la VOD (y compris les films XXX ?)
  • Les n° de téléphones appellés

Craignos hein ? Espérons juste que cette faille n’ai pas été déjà exploitée vu qu’on ne sait pas depuis combien de temps elle est là…

Bref, grâce à Kévin (Merci) et à la rapidité d’exécution du service technique de Numéricable, les données des abonnés sont à nouveau en sécurité.

Ouf ! Encore une victoire de canard !